Fichier systeme32 infecté de virus, quel pied

Résolu
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention   -  
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,
Récemment j'ai eu la joie de découvrir que mon pc était infecté de cheval de Troie, (je me suis dit cool un défis à relever) j'ai vite tiré la grimace.
Actuellement je suis obliger de démarrer en mode sans échec avec réseau sinon Windows bloque des le début, pc lent par ailleurs avec plusieurs bug du à ces cheval de Troie.

J'avais Avast qui n'a rien détecté et maintenant je suis incapable de supprimer cet antivirus même avec ccleaner.
Je l'ai juste désactiver. j'ai installé Avira qui détecte plusieurs cheval de Troie dont:
- TR/Crypt.XPACK.Gen
- TR/Crypt.FKM.Gen
- GEN/PwdZIP

VOICI LE RAPPORT DE HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:18, on 12/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
D:\SEB_Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,
O2 - BHO: (no name) - {06FA474B-3DED-45A3-A6A6-5D414789C226} - C:\WINDOWS\system32\moytkfpp.dll
O2 - BHO: (no name) - {09E4A3D0-0568-498A-94E0-7C393883D62F} - c:\windows\system32\wqazfme.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ShowLOMControl] 
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: bqtpfmiz - C:\WINDOWS\SYSTEM32\wqazfme.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
A voir également:

65 réponses

Précédent
Réponse 41 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
oui les 2 rames énormément
Je vais supprimer avast, quel antivirus gratuit je pourrais prendre ?
0
Réponse 42 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

Antivir :


tutoriel et lien pour Antivir :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

qui contient un tutoriel pour la migration :

http://forum.malekal.com/abandonner-...vir-t4192.html
0
Réponse 43 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Ok très bien je fais; est ce que je dois garder spybot ? MBAM ?
0
Réponse 44 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
re,
Suite à l'installation d'avira j'ai fais un test dont voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijbBdQGwt.txt

En attendant tes conseils, je vais suivre le tuto que tu m'a passé pour accordé avira avec ccleaner.
Par ailleurs j'ai vu dans l'onglet démarrage de ccleaner que j'ai un programme nommé ctfmon.exe qui se lance (je ne connais pas ce fichier) mais aussi "ShowLomControl"

ps: J'ai beau désactiver les pare feu, antivirus et spyware, firefox et ie sont toujours aussi lent.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

on va nettoyer les outils :

Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

====

Il faut mettre à jour Windows : démarrer, Aide et support, Maintenez votre ordinateur à jour ...

Tu suis les instructions.

Tu installes le SP3 et Internet Explorer 8.
0
Réponse 46 / 65
garion28 Messages postés 1545 Date d'inscription   Statut Membre Dernière intervention   406
 
pour ctfmon.exe c'est un fichier de windows, vérifie que le lien qu'il donne pour ce fichier soit bien dans c:\windows\system32
pour ShowLomControl il semblerai que ce soit une tache dans le registre sur certain dell
0
Réponse 47 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Oui ctfmon.exe a bien pour acces c:\windows\system32.

J'ai également nettoyé le bureau avec ZHPFix.exe

Internet est un peu plus lent que d'habitude certainement du au pare feu, mais la connexion est quand même bien meilleur depuis ce matin.

Qu'est ce que je dois faire maintenant ?
0
Réponse 48 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

si tu as nettoyé les outils et mis à jour ce que j'ai demandé, on en a terminé.

Prends un point de restauration propre :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

Nettoie quotidiennement les fichiers avec ATF Cleaner :

=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau

=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner

Conserve MBAM et utilise le "de temps en temps" (scan rapide après mise à jour).

===

Quelques conseils :

Quelques conseils (merci kevlar) :

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P
0
Réponse 49 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Voila j'ai crée un point de restauration (je me demande si on peut leur donner des noms).
J'ai également nettoyé les fichiers avec ATF-Cleaner ( est il possible de programmer ce logiciel afin qu'il fonctionne quotidiennement)

J'ai donc comme:
antivirus: avira
pare-feu: Online Armor
spyware: MBAM et Spybot - Search & Destroy ( est ce que je dois supprimer spybot puisque j'ai MBAM)
nettoyer le pc: ccleaner et ATF-Cleaner
Est ce que je dois installer d'autre programme ?

J'ai regarder les liens que vous m'avez proposé et je me demande s'il va avoir un conflit entre MBAM et Lop S&D si j'installe ce dernier?

Est ce que je dois garder: avenger, rescuecd, combofix ?

J'ai également une autre question ;)
Lorsqu'un antivirus trouve un fichier suspect mieux vaut il le réparer, le mettre en quarantaine ou le supprimer? Et s'il est en quarantaine, normalement si je refais une analyse ce fichier ne doit pas réapparaitre en tant que fichier suspect ?

Démarche pour une analyse antivirus: Si le problème n'est pas résolu je vais donc sur (https://www.virustotal.com/gui/ je regarde quel antivirus détecte le fichier suspect. Je désactive mon antivirus et j'installe l'antivirus proposé par virustotal et je fais une analyse en mode sans échec. C'est bien ça ?

Merci pour le temps que vous m'avez accordé.

0
Réponse 50 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonsoir,

il n'y a pas de conflit entre la version gratuite de MBAM et celle de Spybot S&D.

Tu n'as pas besoin de Lop S&D

Si tu as utilisé ZHPFix comme indiqué au post 45, tu ne devrais plus avoir The Avenger et Combofix.

Si ton antivirus peux réparer un fichier, répare.

Sinon, mise en quarantaine (attention aux faux positifs, en particulier les fichiers qui sont sur ton ordi depuis "longtemps". Une précaution, avant de redémarrer est de vérifier par Google que ce n'est pas un fichier système.

Le fichier ne doit pas réapparaître.

Si tu as un problème, vient demander de l'aide ici.
0
Réponse 51 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
  
Si tu as utilisé ZHPFix comme indiqué au post 45, tu ne devrais plus avoir The Avenger et Combofix
.
Lorsque j'ai fait cette procédure cela m'a supprimé ZHPdiag mais cela m'a pas supprimé les autres programmes
0
Réponse 52 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

Démarrer, Exécuter, tape 
combofix /uninstall
dans la zone de saisie puis clique sur OK.

Démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
0
Réponse 53 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Voila

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\avenger: trouvé !
C:\Documents and Settings\sebastien\Bureau\avenger.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\sebastien\Bureau\avenger.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\avenger: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !
Point de restauration crée !
________________________________________________________________

En revanche j'ai toujours rescuecd.exe et antitruc (combofix) dans C:
0
Réponse 54 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Lorsque j'allume le pc j'ai eu un message d'erreur du fichier winlogon.exe

szAppName : winlogon.exe szAppVer : 0.0.0.0 szModName : ntdll.dll
szModVer : 5.1.2600.3520 offset : 000109d8
0
Réponse 55 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

renomme antitruc en combofix et relance Toolscleaner.

poste le nouveau rapport.

===
Télécharge seaf.exe de C__XX

http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

hxxp://sd-1.archive-host.com/membres/up/16506160323759868/SF.exe

*Double clique sur SEAF.exe.

*Tape winlogon.exe dans la fenêtre.

*Coche la case devant "Informations supplémentaires ..."

*Clique sur le V derrière "Calculer le checksum" et choisis MD5.

*Clique sur Lancer la recherche.

*Patiente quelques minutes(tu peux suivre l'avancement du scan).

*Une fenêtre avec un SEAFlog.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0
Réponse 56 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Re, alors voici les 2 rapports

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix: trouvé !

---------------------------------
--> Suppression:

C:\Combofix: supprimé !
______________________________
"Impeccable"


Rapport seaf.exe :

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 02:45:57 le 18/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. winlogon.exe
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Informations supplémentaires
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\WINDOWS\system32\winlogon.exe" [ ----N---- | 506368 ]
15. TC: 05/08/2004,13:00:00 | TM: 05/08/2004,13:00:00 | DA: 18/02/2010,02:26:56
16. MD5: d2de785aeab0bb8ca4c14a8a199dbe4e
17.
18.
19. CompagnyName: Microsoft Corporation
20. ProductName: Système d'exploitation Microsoft® Windows®
21. InternalName: winlogon
22. OriginalFilename: WINLOGON.EXE
23. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
24. ProductVersion: 5.1.2600.2180
25. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
26.
27. =========================
28.
29. "c:\WINDOWS\system32\dllcache\winlogon.exe" [ ----AC---- | 506368 ]
30. TC: 05/08/2004,13:00:00 | TM: 05/08/2004,13:00:00 | DA: 18/02/2010,02:40:19
31. MD5: d2de785aeab0bb8ca4c14a8a199dbe4e
32.
33.
34. CompagnyName: Microsoft Corporation
35. ProductName: Système d'exploitation Microsoft® Windows®
36. InternalName: winlogon
37. OriginalFilename: WINLOGON.EXE
38. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
39. ProductVersion: 5.1.2600.2180
40. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
41.
42. =========================
43.
44. "c:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe" [ ----A---- | 512000 ]
45. TC: 14/04/2008,03:34:28 | TM: 14/04/2008,03:34:28 | DA: 18/02/2010,02:40:20
46. MD5: dd73d6b9f6b4cb630cf35b438b540174
47.
48.
49. CompagnyName: Microsoft Corporation
50. ProductName: Système d'exploitation Microsoft® Windows®
51. InternalName: winlogon
52. OriginalFilename: WINLOGON.EXE
53. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
54. ProductVersion: 5.1.2600.5512
55. FileVersion: 5.1.2600.5512 (xpsp.080413-2113)
56.
57. =========================
58.
59. "c:\WINDOWS\ERDNT\cache\winlogon.exe" [ ----A---- | 506368 ]
60. TC: 16/02/2010,01:10:10 | TM: 05/08/2004,13:00:00 | DA: 18/02/2010,02:40:21
61. MD5: d2de785aeab0bb8ca4c14a8a199dbe4e
62.
63.
64. CompagnyName: Microsoft Corporation
65. ProductName: Système d'exploitation Microsoft® Windows®
66. InternalName: winlogon
67. OriginalFilename: WINLOGON.EXE
68. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
69. ProductVersion: 5.1.2600.2180
70. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
71.
72. =========================
73.
74. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
75.
76. Aucun dossier trouvé
77.
78. =========================
79.
80. Fin à: 02:46:08 le 18/02/2010 ( E.O.F )
0
Réponse 57 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
Bon ba j'ai redémarré le pc et le message n'apparait plus, bizarre.
Je fais une analyse en mode sans échec avec MBAM afin de voir si tout va bien
0
Réponse 58 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

tu me tiens au courant.

C'est moi qui t'ai fait installer rescueCD ?
0
Réponse 59 / 65
sebzag Messages postés 36 Date d'inscription   Statut Membre Dernière intervention  
 
pour rescueCD non ce n'est pas vous; c'est lorsque j'ai pris le lien avira il y avait plusieurs choix j'ai pris cette version:
[Download French installation kit] Download French installation kit
Avira AntiVir Personal - FREE Antivirus, Version 9
Date: 2010-02-15, Version: 9.0.0.74

Pas de malware trouvé, et le message est définitivement parti :D
0
Réponse 60 / 65
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

comme je ne sais pas exactement ce qui a été fait, si tu veux le supprimer, fais ceci :



*Double clique sur SEAF.exe.

*Coche "Chercher également dans le registre".

*Tape rescuecd dans la fenêtre.

*Clique sur Lancer la recherche.

*Patiente quelques minutes(tu peux suivre l'avancement du scan).

*Une fenêtre avec un SEAFlog.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0