Comment supprimer virut
Fermé
mjl3
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010
-
29 janv. 2010 à 12:29
mjl3 - 19 févr. 2010 à 11:17
mjl3 - 19 févr. 2010 à 11:17
A voir également:
- Comment supprimer virut
- Comment supprimer une page sur word - Guide
- Supprimer compte instagram - Guide
- Comment recuperer un message supprimé sur whatsapp - Guide
- Supprimer pub youtube - Accueil - Streaming
- Comment supprimer un compte gmail - Guide
25 réponses
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
1 févr. 2010 à 19:34
1 févr. 2010 à 19:34
Salut,
J'ai suivi les différentes étapes que tu m'as indiquées, c'était très clair et bien détaillé!
Merci beaucoup ;)
Ça m'encourage à aider les internautes.
================================================
~~> Fixer les lignes :
▶ Lance Hijackthis ( ou ce fichier : )
▶ Choisis " Do a system scan only "
▶ Coche ces lignes sur leurs gauche : (et uniquement celles ci !!)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
▶ Clique sur " FIX CHECKED " et valide au message d'avertissement.
▶ Redémarre ton PC .
Tutoriel , Fixer les lignes avec Hijackthis
================================================
► Nettoyage :
Passe une fois tout les deux jours un coup de nettoyage avec ATF-Cleaner, puis CCleaner.
Passe une fois tous les 15 jours une défragmentation.
► Logiciels de protection :
⇒ Antivirus:
Tu peux garder Antivir.
⇒ Anti-spyware:
Télécharge et Installe Spyware-blaster,qui est léger en ressources, met le a jour régulièrement,et active toutes les protections (« Enable all protection »).
Télécharge et installe Spyware Guard et garde le sur ton PC.
Garde Malwarebytes en complément.
⇒ Firewall:
Désactive le firewall de windows , car il ne vaut rien :
Sous XP
Sous Vista
Garde Jetico.
⇒ Navigateur:
Pour naviguer sur internet plus en sécurité , je te conseille vivement d’installer et utiliser le navigateur Firefox (MAIS GARDE INTERNET EXPLORER POUR LES MISES A JOURS). Une fois que c'est fait, lance le et installe les trois extensions de sécurité suivantes :
WOT : pour se protéger des sites malveillants.
Tuto
No Script
Tutoriel et test No Script
Adblock Plus , Pour bloquer les pubs.
Tutoriel d'utilisation
► Surveillance :
Fais un scan avec ton antivirus a chaque fin de semaine (mets le à jour avant de lancer le scan)
Mets a jour régulièrement Malwarebytes', fais un scan rapide a chaque semaine.
Mets a jour régulièrement Windows, vérifie que les mises a jours automatiques sont bien activés :
Démarrer > Panneau de configuration
choisis l'icône Windows Update, coche la case Mise à jour automatique. Ainsi, Windows et les autres produits de Microsoft comme Internet Explorer, Windows Defender, Windows Media Player etc...
Mets a jour régulièrement Java, adobe reader, comme expliqué
Utilise régulièrement Update checker comme expliqué.
Fais régulièrement une sauvegarde de donnés sur un support externe; ça peut être utile au cas où le système plante.
► Prévention:
Je t'invite à lire ces articles pour éviter une ré-infection au futur: [30 Minutes de lecture très instructive]
Sécuriser son ordinateur et connaitre les menaces (Merci Malekal)
Prévention & Protection sur internet (Grand merci aux auteurs de ce très bon PDF)
Voila, bonne lecture et une fois tous ceci fait et lu tu peux mettre le topic comme résolu.
Bon surf et soit plus vigilent(e) a l'avenir ! ;)
Cordialement Fix.
J'ai suivi les différentes étapes que tu m'as indiquées, c'était très clair et bien détaillé!
Merci beaucoup ;)
Ça m'encourage à aider les internautes.
================================================
~~> Fixer les lignes :
▶ Lance Hijackthis ( ou ce fichier : )
▶ Choisis " Do a system scan only "
▶ Coche ces lignes sur leurs gauche : (et uniquement celles ci !!)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
▶ Clique sur " FIX CHECKED " et valide au message d'avertissement.
▶ Redémarre ton PC .
Tutoriel , Fixer les lignes avec Hijackthis
================================================
► Nettoyage :
Passe une fois tout les deux jours un coup de nettoyage avec ATF-Cleaner, puis CCleaner.
Passe une fois tous les 15 jours une défragmentation.
► Logiciels de protection :
⇒ Antivirus:
Tu peux garder Antivir.
⇒ Anti-spyware:
Télécharge et Installe Spyware-blaster,qui est léger en ressources, met le a jour régulièrement,et active toutes les protections (« Enable all protection »).
Télécharge et installe Spyware Guard et garde le sur ton PC.
Garde Malwarebytes en complément.
⇒ Firewall:
Désactive le firewall de windows , car il ne vaut rien :
Sous XP
Sous Vista
Garde Jetico.
⇒ Navigateur:
Pour naviguer sur internet plus en sécurité , je te conseille vivement d’installer et utiliser le navigateur Firefox (MAIS GARDE INTERNET EXPLORER POUR LES MISES A JOURS). Une fois que c'est fait, lance le et installe les trois extensions de sécurité suivantes :
WOT : pour se protéger des sites malveillants.
Tuto
No Script
Tutoriel et test No Script
Adblock Plus , Pour bloquer les pubs.
Tutoriel d'utilisation
► Surveillance :
Fais un scan avec ton antivirus a chaque fin de semaine (mets le à jour avant de lancer le scan)
Mets a jour régulièrement Malwarebytes', fais un scan rapide a chaque semaine.
Mets a jour régulièrement Windows, vérifie que les mises a jours automatiques sont bien activés :
Démarrer > Panneau de configuration
choisis l'icône Windows Update, coche la case Mise à jour automatique. Ainsi, Windows et les autres produits de Microsoft comme Internet Explorer, Windows Defender, Windows Media Player etc...
Mets a jour régulièrement Java, adobe reader, comme expliqué
Utilise régulièrement Update checker comme expliqué.
Fais régulièrement une sauvegarde de donnés sur un support externe; ça peut être utile au cas où le système plante.
► Prévention:
Je t'invite à lire ces articles pour éviter une ré-infection au futur: [30 Minutes de lecture très instructive]
Sécuriser son ordinateur et connaitre les menaces (Merci Malekal)
Prévention & Protection sur internet (Grand merci aux auteurs de ce très bon PDF)
Voila, bonne lecture et une fois tous ceci fait et lu tu peux mettre le topic comme résolu.
Bon surf et soit plus vigilent(e) a l'avenir ! ;)
Cordialement Fix.
Utilisateur anonyme
29 janv. 2010 à 12:32
29 janv. 2010 à 12:32
SALUT
UN PEU DE lecture
bon courage
amicalement
________________________________________________________________________
UN PEU DE lecture
bon courage
amicalement
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)
mjl3
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010
29 janv. 2010 à 12:46
29 janv. 2010 à 12:46
J'ai bien lu tout le dossier sur virut. J'ai déjà lancé dr web cure it, il a trouvé un virus qui est en quarantaine.
On m'indique qu'escan antivirus est corrompu, et un virus est détecté dans rmvirut donc j'ai préféré ne pas les lancer...
Le pc infecté n'est plus connecté à internet, et j'ai déjà désactivé la restauration système.
On m'indique qu'escan antivirus est corrompu, et un virus est détecté dans rmvirut donc j'ai préféré ne pas les lancer...
Le pc infecté n'est plus connecté à internet, et j'ai déjà désactivé la restauration système.
Utilisateur anonyme
29 janv. 2010 à 12:58
29 janv. 2010 à 12:58
élécharge cela:utile pour voir ce que peut être l infection et agir ensuite.
=> hidjackthis
installe le normalement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijackthis avec un clique droit sur le raccourci et executer en tant qu administrateur
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse
et colle moi ton rapport dans ta prochaine réponse!
a suivre...tu peux aussi aller =>explication =>pour copier ton log
________________________________________________________________________
=> hidjackthis
installe le normalement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijackthis avec un clique droit sur le raccourci et executer en tant qu administrateur
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse
et colle moi ton rapport dans ta prochaine réponse!
a suivre...tu peux aussi aller =>explication =>pour copier ton log
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mjl3
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010
29 janv. 2010 à 19:45
29 janv. 2010 à 19:45
Bonsoir,
Voici le rapport obtenu par hijac kthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:48, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\msdrv32.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Driver Setup] E:\WINDOWS\msdrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] E:\WINDOWS\msdrv32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Voici le rapport obtenu par hijac kthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:48, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\msdrv32.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Driver Setup] E:\WINDOWS\msdrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] E:\WINDOWS\msdrv32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Utilisateur anonyme
29 janv. 2010 à 19:59
29 janv. 2010 à 19:59
télécharge =>malwarebytes
ensuite
sur la page cliques sur Télécharger malwarebite's Anti-Malware
enregistres le sur le bureau
Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
si le pare-feu demande l'autorisation de se connecter pour malwarebite's, acceptes
Une fois la mise à jour terminée,fermes Malwarebytes
redémarre en mode sans échec pour certaines configuration juste avant que le pc démarre il faut tapoter sur la touche F8
pour d'autre c'est F4 ou F1 ou encore F12 regarde tu doit savoir ta config!
une fois en mode sans échec tu double-cliques sur l'icône de Malwarebytes
une fois ouvert rend-toi dans l'onglet, Recherche
Sélectionnes Exécuter un examen complet
Cliques sur Rechercher
Le scan démarre.
A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Cliques sur OK pour poursuivre.
Si des Malware ont été détectés, cliques sur Afficher les résultats
Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
redémarre le pc
une fois redémarré en mode normal double-cliques sur Malwarebytes
rends toi dans l'onglet rapport/log
tu cliques dessus pour l'afficher une fois affiché
tu cliques sur édition en haut du bloc notes,et puis sur sélectionner tous
tu recliques sur édition et puis sur copier tu reviens sur le forum et dans ta réponse
tu me colle ton rapport=>clic droit coller
________________________________________________________________________
ensuite
sur la page cliques sur Télécharger malwarebite's Anti-Malware
enregistres le sur le bureau
Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
si le pare-feu demande l'autorisation de se connecter pour malwarebite's, acceptes
Une fois la mise à jour terminée,fermes Malwarebytes
redémarre en mode sans échec pour certaines configuration juste avant que le pc démarre il faut tapoter sur la touche F8
pour d'autre c'est F4 ou F1 ou encore F12 regarde tu doit savoir ta config!
une fois en mode sans échec tu double-cliques sur l'icône de Malwarebytes
une fois ouvert rend-toi dans l'onglet, Recherche
Sélectionnes Exécuter un examen complet
Cliques sur Rechercher
Le scan démarre.
A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Cliques sur OK pour poursuivre.
Si des Malware ont été détectés, cliques sur Afficher les résultats
Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
redémarre le pc
une fois redémarré en mode normal double-cliques sur Malwarebytes
rends toi dans l'onglet rapport/log
tu cliques dessus pour l'afficher une fois affiché
tu cliques sur édition en haut du bloc notes,et puis sur sélectionner tous
tu recliques sur édition et puis sur copier tu reviens sur le forum et dans ta réponse
tu me colle ton rapport=>clic droit coller
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 janv. 2010 à 20:05
29 janv. 2010 à 20:05
Hello
Je me permet d'intervenir pour avancer.
@ forminux1,
MBAM n'est pas efficace en mode sans échec.
UsbFix peux virer l'infection + vacciner les clés USB.
@ mjl3,
Télécharge UsbFix (de C_XX, El Desaparecido, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Aide : :
Comment Utiliser UsbFix
=====
▶ Rends sur cette page .
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^
=====
Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
▶ Double-clique sur RSIT.exe afin de le lancer.
▶ Clique sur "Continue" à l'écran "Disclaimer of warranty".
▶ Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
▶ Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
⇒ Poste le contenu de log.txt (<= qui sera affiché) ainsi que de info.txt (<= qui sera réduit dans la Barre des Tâches).
Note : Les deux rapports sont également sauvegardés ici : C:\rsit
Je me permet d'intervenir pour avancer.
@ forminux1,
MBAM n'est pas efficace en mode sans échec.
UsbFix peux virer l'infection + vacciner les clés USB.
@ mjl3,
Télécharge UsbFix (de C_XX, El Desaparecido, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Aide : :
Comment Utiliser UsbFix
=====
▶ Rends sur cette page .
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^
=====
Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
▶ Double-clique sur RSIT.exe afin de le lancer.
▶ Clique sur "Continue" à l'écran "Disclaimer of warranty".
▶ Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
▶ Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
⇒ Poste le contenu de log.txt (<= qui sera affiché) ainsi que de info.txt (<= qui sera réduit dans la Barre des Tâches).
Note : Les deux rapports sont également sauvegardés ici : C:\rsit
Utilisateur anonyme
29 janv. 2010 à 20:11
29 janv. 2010 à 20:11
le nouveau il me les supprime mais tu as raison si il y'a mieux
aide le il a un p_ _ _ _ n de virut
malgré le premier lien que je lui ai mit s'il avais suivi toutes les info il avais la solution mais bon
ce n'ai jamais facile tu l'sais bien
j'te laisse la relève alors
merci a toi fix200
________________________________________________________________________
aide le il a un p_ _ _ _ n de virut
malgré le premier lien que je lui ai mit s'il avais suivi toutes les info il avais la solution mais bon
ce n'ai jamais facile tu l'sais bien
j'te laisse la relève alors
merci a toi fix200
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 janv. 2010 à 20:14
29 janv. 2010 à 20:14
Re,
Le nouveau il me les supprime mais tu as raison si il y'a mieux
aide le il a un p_ _ _ _ n de virut
malgré le premier lien que je lui ai mit s'il avais suivi toutes les info il avais la solution mais bon
ce n'ai jamais facile tu l'sais bien
j'te laisse la relève alors
Je connais très bien Virut ;)
mais là, l'infection semble être inactife, mais on va vérifer tkt pas ;)
Merci :)
mjl3, la suite ici: https://forums.commentcamarche.net/forum/affich-16357827-comment-supprimer-virut#6
Le nouveau il me les supprime mais tu as raison si il y'a mieux
aide le il a un p_ _ _ _ n de virut
malgré le premier lien que je lui ai mit s'il avais suivi toutes les info il avais la solution mais bon
ce n'ai jamais facile tu l'sais bien
j'te laisse la relève alors
Je connais très bien Virut ;)
mais là, l'infection semble être inactife, mais on va vérifer tkt pas ;)
Merci :)
mjl3, la suite ici: https://forums.commentcamarche.net/forum/affich-16357827-comment-supprimer-virut#6
mjl3
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010
29 janv. 2010 à 20:52
29 janv. 2010 à 20:52
Bonsoir,
J'ai suivi les manips avec usbfix (et envoyé le rapport), puis rsit.
Voici les rapports de rsit:
info.txt logfile of random's system information tool 1.06 2010-01-29 20:43:07
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Avira AntiVir Personal - Free Antivirus-->E:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->E:\WINDOWS\System32\nvuide.exe UninstallGUI
======System event log======
Computer Name: AZE-1F4EIXWM9XN
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20100128192854.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers AZE-1F4EIXWM9XN.
Record Number: 4
Source Name: EventLog
Time Written: 20100128192340.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 3
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.
Record Number: 2
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.
Record Number: 1
Source Name: Serial
Time Written: 20100128191522.000000+060
Event Type: Informations
User:
=====Application event log=====
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 5
Source Name: LoadPerf
Time Written: 20100128192435.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 4
Source Name: LoadPerf
Time Written: 20100128192433.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 3
Source Name: LoadPerf
Time Written: 20100128192344.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 2
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 1
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=5f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-29 20:43:03
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (52% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:06, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
F:\RSIT.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
J'ai suivi les manips avec usbfix (et envoyé le rapport), puis rsit.
Voici les rapports de rsit:
info.txt logfile of random's system information tool 1.06 2010-01-29 20:43:07
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Avira AntiVir Personal - Free Antivirus-->E:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->E:\WINDOWS\System32\nvuide.exe UninstallGUI
======System event log======
Computer Name: AZE-1F4EIXWM9XN
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20100128192854.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers AZE-1F4EIXWM9XN.
Record Number: 4
Source Name: EventLog
Time Written: 20100128192340.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 3
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.
Record Number: 2
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.
Record Number: 1
Source Name: Serial
Time Written: 20100128191522.000000+060
Event Type: Informations
User:
=====Application event log=====
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 5
Source Name: LoadPerf
Time Written: 20100128192435.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 4
Source Name: LoadPerf
Time Written: 20100128192433.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 3
Source Name: LoadPerf
Time Written: 20100128192344.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 2
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 1
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=5f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-29 20:43:03
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (52% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:06, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
F:\RSIT.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 janv. 2010 à 20:56
29 janv. 2010 à 20:56
Re,
Poste le rapport UsbFix puis:
Télécharge Dr.Web CureIt sur ton Bureau:
▶ Démarre en mode sans échec.
▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
=====
repasse rsit et colle le rapport obtenu.
Poste le rapport UsbFix puis:
Télécharge Dr.Web CureIt sur ton Bureau:
▶ Démarre en mode sans échec.
▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
=====
repasse rsit et colle le rapport obtenu.
mjl3
Messages postés
5
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
29 janvier 2010
29 janv. 2010 à 21:06
29 janv. 2010 à 21:06
Voici le rapport usb fix:
############################## | UsbFix V6.082 |
User : mjl (Administrateurs) # AZE-1F4EIXWM9XN
Update on 29/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:34:46 | 29/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Sempron(tm) Processor 3200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106
C:\ -> Disque fixe local # 6,83 Go (6,8 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 142,21 Go (139,84 Go free) # NTFS
F:\ -> Disque amovible # 14,9 Go (14,78 Go free) [USB DISK] # FAT32
############################## | Processus actifs |
E:\WINDOWS\System32\smss.exe 540
E:\WINDOWS\system32\csrss.exe 612
E:\WINDOWS\system32\winlogon.exe 636
E:\WINDOWS\system32\services.exe 680
E:\WINDOWS\system32\lsass.exe 692
E:\WINDOWS\system32\svchost.exe 860
E:\WINDOWS\System32\svchost.exe 884
E:\WINDOWS\System32\svchost.exe 960
E:\WINDOWS\system32\logonui.exe 988
E:\WINDOWS\System32\svchost.exe 1032
E:\WINDOWS\system32\spoolsv.exe 1172
E:\Program Files\Avira\AntiVir Desktop\sched.exe 1208
E:\Program Files\Avira\AntiVir Desktop\avguard.exe 1284
E:\WINDOWS\System32\nvsvc32.exe 1324
E:\WINDOWS\system32\userinit.exe 1668
E:\WINDOWS\Explorer.EXE 1712
E:\WINDOWS\System32\wbem\wmiprvse.exe 1976
################## | Elements infectieux |
Supprimé ! E:\WINDOWS\msdrv32.exe
################## | Registre |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Driver Setup"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Microsoft Driver Setup"
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[28/01/2010 19:26|--a------|0] C:\AUTOEXEC.BAT
[28/01/2010 19:23|---hs----|195] C:\boot.ini
[28/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin
[28/01/2010 19:26|--a------|0] C:\CONFIG.SYS
[28/01/2010 19:26|-rahs----|0] C:\IO.SYS
[28/01/2010 19:26|-rahs----|0] C:\MSDOS.SYS
[28/08/2002 21:08|-rahs----|47580] C:\NTDETECT.COM
[29/08/2002 01:05|-rahs----|235824] C:\ntldr
[?|?|?] E:\pagefile.sys
[29/01/2010 20:35|--a------|2194] E:\UsbFix.txt
[29/01/2010 19:41|--a------|2958] F:\Document.rtf
[29/01/2010 20:28|--a------|1480343] F:\UsbFix.exe
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
Je lance Dr web cure it.
############################## | UsbFix V6.082 |
User : mjl (Administrateurs) # AZE-1F4EIXWM9XN
Update on 29/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:34:46 | 29/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Sempron(tm) Processor 3200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106
C:\ -> Disque fixe local # 6,83 Go (6,8 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 142,21 Go (139,84 Go free) # NTFS
F:\ -> Disque amovible # 14,9 Go (14,78 Go free) [USB DISK] # FAT32
############################## | Processus actifs |
E:\WINDOWS\System32\smss.exe 540
E:\WINDOWS\system32\csrss.exe 612
E:\WINDOWS\system32\winlogon.exe 636
E:\WINDOWS\system32\services.exe 680
E:\WINDOWS\system32\lsass.exe 692
E:\WINDOWS\system32\svchost.exe 860
E:\WINDOWS\System32\svchost.exe 884
E:\WINDOWS\System32\svchost.exe 960
E:\WINDOWS\system32\logonui.exe 988
E:\WINDOWS\System32\svchost.exe 1032
E:\WINDOWS\system32\spoolsv.exe 1172
E:\Program Files\Avira\AntiVir Desktop\sched.exe 1208
E:\Program Files\Avira\AntiVir Desktop\avguard.exe 1284
E:\WINDOWS\System32\nvsvc32.exe 1324
E:\WINDOWS\system32\userinit.exe 1668
E:\WINDOWS\Explorer.EXE 1712
E:\WINDOWS\System32\wbem\wmiprvse.exe 1976
################## | Elements infectieux |
Supprimé ! E:\WINDOWS\msdrv32.exe
################## | Registre |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Driver Setup"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Microsoft Driver Setup"
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[28/01/2010 19:26|--a------|0] C:\AUTOEXEC.BAT
[28/01/2010 19:23|---hs----|195] C:\boot.ini
[28/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin
[28/01/2010 19:26|--a------|0] C:\CONFIG.SYS
[28/01/2010 19:26|-rahs----|0] C:\IO.SYS
[28/01/2010 19:26|-rahs----|0] C:\MSDOS.SYS
[28/08/2002 21:08|-rahs----|47580] C:\NTDETECT.COM
[29/08/2002 01:05|-rahs----|235824] C:\ntldr
[?|?|?] E:\pagefile.sys
[29/01/2010 20:35|--a------|2194] E:\UsbFix.txt
[29/01/2010 19:41|--a------|2958] F:\Document.rtf
[29/01/2010 20:28|--a------|1480343] F:\UsbFix.exe
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
Je lance Dr web cure it.
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 janv. 2010 à 21:07
29 janv. 2010 à 21:07
Ok,
Le scan va durer longtemps, donc à demain ;)
Le scan va durer longtemps, donc à demain ;)
Je poste juste les logs ce soir car je ne suis pas sûre d'avoir le temps demain.
Merci pour votre aide, ça faisait un moment que l'ordi infecté était inutilisable!
Le scan Dr Web Cure it a trouvé un seul fichier suspect, dans usbfix: tool.prockill.
Comme j'avais lu sur ce site que les antivirus pouvaient détecter "process.exe" d'usbfix, j'ai préféré ne pas mettre le fichier trouvé en quarantaine, ne sachant pas s'il s'agissait de process.exe...
Voici les logs
Dr web cure it:
Kill_P.exe E:\UsbFix\Tools Tool.Prockill
RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-29 22:17:15
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (54% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:16, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\system32\NOTEPAD.EXE
F:\RSIT.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Merci pour votre aide, ça faisait un moment que l'ordi infecté était inutilisable!
Le scan Dr Web Cure it a trouvé un seul fichier suspect, dans usbfix: tool.prockill.
Comme j'avais lu sur ce site que les antivirus pouvaient détecter "process.exe" d'usbfix, j'ai préféré ne pas mettre le fichier trouvé en quarantaine, ne sachant pas s'il s'agissait de process.exe...
Voici les logs
Dr web cure it:
Kill_P.exe E:\UsbFix\Tools Tool.Prockill
RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-29 22:17:15
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (54% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:16, on 29/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\system32\NOTEPAD.EXE
F:\RSIT.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
30 janv. 2010 à 10:56
30 janv. 2010 à 10:56
Salut
Bien dormi? ;)
Le log rsit n'est pas complet, pas grave.
Télécharge MalwareBytes' Anti-Malware (MBAM) .
▶ Double clique sur le fichier téléchargé pour lancer le processus d’installation , choisis "Français" et accepte lorsqu’il te le sera demandé de le mettre a jour.
▶ Regarde bien ce Tuto pour bien utiliser le programme.
! Déconnecte toi ferme toutes applications en cours !
⇒ Lance MBAM.
▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"
▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".
▶ Puis clique sur " Rechercher ".
▶ Laisse le scanner le PC...
▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".
▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".
▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".
▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.
▶ Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .
Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .
==========
Supprime le dossier rsit qui se trouve à la racine de ton disque dur.
Exécute RSIT.exe qui se trouve sur ton bureau et colle les 2 rapports obtenus.
Bien dormi? ;)
Le log rsit n'est pas complet, pas grave.
Télécharge MalwareBytes' Anti-Malware (MBAM) .
▶ Double clique sur le fichier téléchargé pour lancer le processus d’installation , choisis "Français" et accepte lorsqu’il te le sera demandé de le mettre a jour.
▶ Regarde bien ce Tuto pour bien utiliser le programme.
! Déconnecte toi ferme toutes applications en cours !
⇒ Lance MBAM.
▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"
▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".
▶ Puis clique sur " Rechercher ".
▶ Laisse le scanner le PC...
▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".
▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".
▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".
▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.
▶ Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .
Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .
==========
Supprime le dossier rsit qui se trouve à la racine de ton disque dur.
Exécute RSIT.exe qui se trouve sur ton bureau et colle les 2 rapports obtenus.
Utilisateur anonyme
30 janv. 2010 à 11:17
30 janv. 2010 à 11:17
salut les gars je vois que ça avance !
c'est cool fix200
juste une petite chose mbam est beaucoup plus actif quant tu fait un scann en mode sans echec car les composant ne son pas actif est meilleur la suppression comme la détection !
sinon ça va vous avez bien avancée
merci encore à toi fix200
a+l'ami
amicalement...
________________________________________________________________________
c'est cool fix200
juste une petite chose mbam est beaucoup plus actif quant tu fait un scann en mode sans echec car les composant ne son pas actif est meilleur la suppression comme la détection !
sinon ça va vous avez bien avancée
merci encore à toi fix200
a+l'ami
amicalement...
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
30 janv. 2010 à 11:25
30 janv. 2010 à 11:25
Re,
juste une petite chose mbam est beaucoup plus actif quant tu fait un scann en mode sans echec car les composant ne son pas actif est meilleur la suppression comme la détection !
Non justement ;)
c'est vrai que c'est bizarre, mais c'est une chose particulière pour ce logiciel.
Cela diminue de son efficacité, regarde ce topic:
https://www.clubic.com/forum/t/mbam-mode-sans-echec-avis-aux-helpeurs-et-aux-autres/285832
sinon ça va vous avez bien avancée
merci encore à toi fix200
Mais de rien, c'est fait avec plaisir :)
mjl3, la suite ici:
https://forums.commentcamarche.net/forum/affich-16357827-comment-supprimer-virut#14
^^
juste une petite chose mbam est beaucoup plus actif quant tu fait un scann en mode sans echec car les composant ne son pas actif est meilleur la suppression comme la détection !
Non justement ;)
c'est vrai que c'est bizarre, mais c'est une chose particulière pour ce logiciel.
Cela diminue de son efficacité, regarde ce topic:
https://www.clubic.com/forum/t/mbam-mode-sans-echec-avis-aux-helpeurs-et-aux-autres/285832
sinon ça va vous avez bien avancée
merci encore à toi fix200
Mais de rien, c'est fait avec plaisir :)
mjl3, la suite ici:
https://forums.commentcamarche.net/forum/affich-16357827-comment-supprimer-virut#14
^^
Utilisateur anonyme
30 janv. 2010 à 11:44
30 janv. 2010 à 11:44
décidement
j'te remercie pour le lien fix200 tu vois moi on ma toujours conseiller mode sans echec comme on à du au début te le conseiller!
mais la je tombe sur le cul j'ai encore fait un scann y'a 2 jour et rien du coup je vais rescanner tu penses
merci a toi fix200
(je s'avais que t'etait l(homme de la situation) lol;)
amicalement
________________________________________________________________________
j'te remercie pour le lien fix200 tu vois moi on ma toujours conseiller mode sans echec comme on à du au début te le conseiller!
mais la je tombe sur le cul j'ai encore fait un scann y'a 2 jour et rien du coup je vais rescanner tu penses
merci a toi fix200
(je s'avais que t'etait l(homme de la situation) lol;)
amicalement
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)
Bonjour!
J'ai effectué les analyse avec malwarebytes et rsit, voici les logs:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3662
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106
30/01/2010 14:04:25
mbam-log-2010-01-30 (14-04-25).txt
Type de recherche: Examen rapide
Eléments examinés: 98175
Temps écoulé: 2 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
rsit:
info.txt logfile of random's system information tool 1.06 2010-01-30 14:15:17
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Avira AntiVir Personal - Free Antivirus-->E:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Malwarebytes' Anti-Malware-->"E:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->E:\WINDOWS\System32\nvuide.exe UninstallGUI
======System event log======
Computer Name: AZE-1F4EIXWM9XN
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20100128192854.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers AZE-1F4EIXWM9XN.
Record Number: 4
Source Name: EventLog
Time Written: 20100128192340.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 3
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.
Record Number: 2
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.
Record Number: 1
Source Name: Serial
Time Written: 20100128191522.000000+060
Event Type: Informations
User:
=====Application event log=====
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 5
Source Name: LoadPerf
Time Written: 20100128192435.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 4
Source Name: LoadPerf
Time Written: 20100128192433.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 3
Source Name: LoadPerf
Time Written: 20100128192344.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 2
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 1
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=5f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-30 14:15:13
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (58% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:16, on 30/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
F:\nettoyage disque dur\RSIT 2.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
J'ai effectué les analyse avec malwarebytes et rsit, voici les logs:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3662
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106
30/01/2010 14:04:25
mbam-log-2010-01-30 (14-04-25).txt
Type de recherche: Examen rapide
Eléments examinés: 98175
Temps écoulé: 2 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
rsit:
info.txt logfile of random's system information tool 1.06 2010-01-30 14:15:17
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 E:\WINDOWS\INF\PCHealth.inf
Avira AntiVir Personal - Free Antivirus-->E:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Malwarebytes' Anti-Malware-->"E:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->E:\WINDOWS\System32\nvuide.exe UninstallGUI
======System event log======
Computer Name: AZE-1F4EIXWM9XN
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20100128192854.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers AZE-1F4EIXWM9XN.
Record Number: 4
Source Name: EventLog
Time Written: 20100128192340.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 3
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.
Record Number: 2
Source Name: EventLog
Time Written: 20100128191456.000000+060
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.
Record Number: 1
Source Name: Serial
Time Written: 20100128191522.000000+060
Event Type: Informations
User:
=====Application event log=====
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 5
Source Name: LoadPerf
Time Written: 20100128192435.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 4
Source Name: LoadPerf
Time Written: 20100128192433.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 3
Source Name: LoadPerf
Time Written: 20100128192344.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 2
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
Computer Name: AZE-1F4EIXWM9XN
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 1
Source Name: LoadPerf
Time Written: 20100128192341.000000+060
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=5f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
Logfile of random's system information tool 1.06 (written by random/random)
Run by mjl at 2010-01-30 14:15:13
Microsoft Windows XP Professionnel Service Pack 1
System drive E: has 143 GB (98%) free of 146 GB
Total RAM: 479 MB (58% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:16, on 30/01/2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
E:\WINDOWS\System32\ctfmon.exe
F:\nettoyage disque dur\RSIT 2.exe
E:\Program Files\Trend Micro\HijackThis\mjl.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
Utilisateur anonyme
30 janv. 2010 à 17:02
30 janv. 2010 à 17:02
re
ça ma l'air dans la poche tout ça!
bien vu fix200 t'as assuré mon vieux!
content pour lui!
a+ sur le forum
amicalement
________________________________________________________________________
ça ma l'air dans la poche tout ça!
bien vu fix200 t'as assuré mon vieux!
content pour lui!
a+ sur le forum
amicalement
________________________________________________________________________
A Vaincre Sans Péril , On Triomphe Sans Gloire.... I;-)