Ecran bleu + trojan

Résolu/Fermé

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010 - 26 févr. 2010 à 08:56
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 2 mars 2010 à 18:43

Bonjour,
Bonjour,
à la fin de combofix, j'ai eu un ecran bleu avec en informations techniques :
stop 0X0000008E (0XC0000005,0XB9471703,0XB5831C70,0X00000000)
windrvnt.sys-adress B9471703 base at B 9468000, date stamp 409F405c

ensuite au redémarrage antivir trouve toujours des trojans
voici mon rapport combofix

ComboFix 10-02-24.03 - moi 25/02/2010 19:15:18.5.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1584 [GMT 1:00]
Lancé depuis: h:\documents and settings\moi\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-25 au 2010-02-25 ))))))))))))))))))))))))))))))))))))
.

2010-02-24 17:44 . 2010-02-24 17:44 -------- d-----w- h:\documents and settings\LocalService\Application Data\Quark
2010-02-23 15:24 . 2008-04-13 19:40 8192 -c--a-w- h:\windows\system32\dllcache\changer.sys
2010-02-23 14:54 . 2010-02-23 14:54 116 ----a-w- h:\windows\system32\fjhdyfhsn.bat
2010-02-23 10:49 . 2010-02-23 10:49 -------- d-----w- h:\documents and settings\moi\Application Data\Nero
2010-02-23 10:49 . 2010-02-23 10:49 -------- d-----w- h:\documents and settings\moi\Local Settings\Application Data\Xenocode
2010-02-20 13:50 . 2009-03-30 08:32 96104 ----a-w- h:\windows\system32\drivers\avipbb.sys
2010-02-20 13:50 . 2009-02-13 10:28 22360 ----a-w- h:\windows\system32\drivers\avgntmgr.sys
2010-02-20 13:50 . 2009-11-25 10:19 56816 ----a-w- h:\windows\system32\drivers\avgntflt.sys
2010-02-20 13:50 . 2009-02-13 10:17 45416 ----a-w- h:\windows\system32\drivers\avgntdd.sys
2010-02-20 13:50 . 2010-02-20 13:50 -------- d-----w- h:\program files\Avira
2010-02-20 13:50 . 2010-02-20 13:50 -------- d-----w- h:\documents and settings\All Users\Application Data\Avira
2010-02-19 13:33 . 2009-05-07 07:04 157712 ----a-w- h:\windows\system32\drivers\tmcomm.sys
2010-02-19 11:24 . 2010-02-19 11:24 -------- d-----w- h:\program files\Trend Micro
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\WINDOWS
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\UserData
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\Tracing
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\Shared
2010-02-18 09:10 . 2010-02-18 09:10 -------- d-----w- H:\found.000
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\Incomplete
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\IETldCache
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\dwhelper
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\Contacts
2010-02-15 15:25 . 2010-02-15 15:34 -------- d-----w- H:\credit agricole 2010
2010-02-10 15:39 . 2010-02-24 13:32 -------- d-----w- H:\rib
2010-02-04 18:45 . 2010-02-04 18:45 -------- d-----w- h:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-02-01 10:07 . 2010-02-01 10:07 -------- d-----w- h:\documents and settings\LocalService\Local Settings\Application Data\Google

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-25 17:57 . 2008-12-01 09:32 -------- d-----w- h:\program files\Pando Networks
2010-02-25 11:12 . 2009-04-10 18:18 -------- d-----w- h:\documents and settings\moi\Application Data\My Stitch
2010-02-25 11:09 . 2007-06-27 14:43 -------- d-----w- h:\program files\foobar2000
2010-02-25 11:09 . 2007-03-07 14:34 -------- d-----w- h:\program files\eMule
2010-02-25 09:44 . 2008-03-28 14:11 -------- d-----w- h:\program files\iTunes
2010-02-25 09:43 . 2007-11-09 09:23 -------- d-----w- h:\program files\QuickTime
2010-02-24 18:44 . 2008-07-01 13:27 -------- d-----w- h:\program files\Free Music Zilla
2010-02-23 14:54 . 2010-02-23 14:54 16 ----a-w- h:\windows\system32\config\systemprofile\Application Data\nsyfbe.dat
2010-02-23 09:30 . 2010-02-23 09:35 7643136 ----a-w- h:\windows\Internet Logs\xDB29.tmp
2010-02-23 09:30 . 2010-02-23 09:35 3200512 ----a-w- h:\windows\Internet Logs\xDBD.tmp
2010-02-22 15:52 . 2010-02-22 15:57 7631872 ----a-w- h:\windows\Internet Logs\xDB2E.tmp
2010-02-20 13:33 . 2007-10-09 15:00 -------- d-----w- h:\program files\Google
2010-02-19 22:10 . 2010-02-20 08:08 7588352 ----a-w- h:\windows\Internet Logs\xDB28.tmp
2010-02-19 19:11 . 2010-02-19 19:15 7579136 ----a-w- h:\windows\Internet Logs\xDB27.tmp
2010-02-19 19:11 . 2010-02-19 19:15 4550656 ----a-w- h:\windows\Internet Logs\xDB26.tmp
2010-02-19 17:04 . 2010-02-19 17:33 7578624 ----a-w- h:\windows\Internet Logs\xDB25.tmp
2010-02-19 14:44 . 2010-02-19 14:44 128091 ----a-w- h:\windows\Internet Logs\vsmon_2nd_2010_02_19_14_50_50_small.dmp.zip
2010-02-19 08:42 . 2010-02-19 08:49 7475200 ----a-w- h:\windows\Internet Logs\xDB24.tmp
2010-02-19 08:42 . 2010-02-19 08:49 4109824 ----a-w- h:\windows\Internet Logs\xDB23.tmp
2010-02-18 09:25 . 2010-02-18 09:33 7469056 ----a-w- h:\windows\Internet Logs\xDB22.tmp
2010-02-18 09:25 . 2010-02-18 09:33 2567680 ----a-w- h:\windows\Internet Logs\xDB21.tmp
2010-02-17 19:33 . 2010-02-17 19:36 7465472 ----a-w- h:\windows\Internet Logs\xDB20.tmp
2010-02-12 09:05 . 2009-09-27 18:39 -------- d-----w- h:\documents and settings\All Users\Application Data\NOS
2010-02-04 18:44 . 2007-04-16 06:38 26618140 ----a-w- h:\windows\Internet Logs\tvDebug.zip
2010-02-04 18:38 . 2010-02-04 18:46 7409152 ----a-w- h:\windows\Internet Logs\xDB1F.tmp
2010-02-01 10:08 . 2007-04-16 19:45 -------- d-----w- h:\documents and settings\moi\Application Data\U3
2010-01-26 15:15 . 2009-03-03 15:44 -------- d-----w- h:\documents and settings\moi\Application Data\dvdcss
2010-01-25 20:15 . 2009-09-15 09:32 -------- d-----w- h:\program files\MediaCoder
2010-01-20 13:00 . 2008-09-19 07:51 -------- d-----w- h:\program files\Microsoft Silverlight
2010-01-20 07:15 . 2010-01-20 07:15 40414 ----a-w- h:\windows\Internet Logs\vsmon_2nd_2010_01_20_08_09_16_small.dmp.zip
2010-01-05 09:56 . 2006-06-23 12:28 832512 ------w- h:\windows\system32\wininet.dll
2010-01-05 09:56 . 2009-07-16 13:17 78336 ----a-w- h:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2002-08-30 20:00 17408 ----a-w- h:\windows\system32\corpol.dll
2009-12-31 16:50 . 2002-08-30 20:00 353792 ----a-w- h:\windows\system32\drivers\srv.sys
2009-12-21 08:09 . 2007-03-07 15:35 4212 ---h--w- h:\windows\system32\zllictbl.dat
2009-12-17 07:41 . 2007-03-06 20:06 347648 ----a-w- h:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2002-08-30 20:00 33280 ----a-w- h:\windows\system32\csrsrv.dll
2009-12-09 10:08 . 2002-08-30 20:00 2147328 ------w- h:\windows\system32\ntoskrnl.exe
2009-12-09 10:08 . 2002-08-29 11:42 2025984 ------w- h:\windows\system32\ntkrnlpa.exe
2009-12-05 17:42 . 2009-11-04 07:28 152576 ----a-w- h:\documents and settings\moi\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-05 17:41 . 2009-12-05 17:41 79488 ----a-w- h:\documents and settings\moi\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-04 18:22 . 2002-08-30 20:00 455424 ----a-w- h:\windows\system32\drivers\mrxsmb.sys
2009-12-03 15:50 . 2009-12-03 15:53 7265792 ----a-w- h:\windows\Internet Logs\xDB1D.tmp
2009-12-03 15:50 . 2009-12-03 15:53 232448 ----a-w- h:\windows\Internet Logs\xDB1C.tmp
2008-07-01 13:26 . 2008-07-01 13:26 553754 ----a-w- h:\program files\fmzsetup.zip
2008-07-01 12:07 . 2008-07-01 12:07 274435 ----a-w- h:\program files\video_downloadhelper-3.1-fx.xpi
2008-02-26 11:44 . 2008-07-01 14:52 49152 ----a-w- h:\program files\FLVExtract.exe
2007-10-11 14:07 . 2007-10-11 13:33 593 ----a-w- h:\program files\SolidWorksswxJRNL.BAK
2007-06-26 17:11 . 2007-03-07 18:10 21 ----a-w- h:\program files\Fichiers communs\appop.log
2007-03-08 11:20 . 2007-03-08 11:20 274425064 ----a-w- h:\program files\WindowsXP-KB835935-SP2-FRA.exe
2007-03-08 10:37 . 2007-03-08 10:37 25839688 ----a-w- h:\program files\wmp11-windowsxp-x86-FR-FR.exe
2007-03-07 17:42 . 2007-03-07 17:42 18540087 ----a-w- h:\program files\klcodec285f.exe
2007-03-07 17:10 . 2007-03-07 17:10 6652812 ----a-w- h:\program files\sld.codec.pack.2.2.exe
2007-03-07 15:32 . 2007-03-07 15:32 11486192 ----a-w- h:\program files\Zone Alarm Pro - v6[1].1.744.rar
2007-03-07 15:27 . 2007-03-07 15:27 2137082 ----a-w- h:\program files\WinRAR - v3.62.exe
2007-03-07 14:56 . 2007-03-07 14:56 1239066 ----a-w- h:\program files\WINISO53.EXE
2007-03-07 14:34 . 2007-03-07 14:34 3534076 ----a-w- h:\program files\eMule0.47c-Installer.exe
2007-03-07 09:45 . 2007-03-07 09:45 5733301 ----a-w- h:\program files\91.31_forceware_3dstereo.exe
2007-03-07 08:45 . 2007-03-07 08:45 18003103 ----a-w- h:\program files\MagicTunePremium_1.0.32.exe
2007-03-07 08:32 . 2007-03-07 08:32 32830028 ----a-w- h:\program files\MagicTune3.6(64Bit)_1003.exe
.
[code]<pre>
h:\program files\Adobe\Acrobat 7.0\Distillr\acrotray .exe
h:\program files\QuickTime\qttask .exe
h:\windows\PCHealth\HelpCtr\Binaries\msconfig .exe
</pre>/code

((((((((((((((((((((((((((((( SnapShot_2010-02-25_17.07.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-25 18:11 . 2010-02-25 18:11 16384 h:\windows\Temp\Perflib_Perfdata_3dc.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"srvreg"="h:\windows\System32\srvreg.exe" [N/A]
"swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-24 57344]
"MsnMsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="h:\windows\System32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="h:\windows\System32\sw20.exe" [2006-05-18 208896]
"SW24"="h:\windows\System32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"SoundMAXPnP"="h:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-18 843776]
"AsusServiceProvider"="h:\program files\ASUS\AASP\1.00.01\aaCenter.exe" [2006-06-30 582144]
"Acrobat Assistant 7.0"="h:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 483328]
"CAPON"="h:\windows\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-14 22528]
"Opware12"="h:\program files\ScanSoft\OmniPagePro12.0\Opware12.exe" [2002-08-01 49152]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-03-10 28160]
"QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2010-02-23 57344]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="h:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OSSelectorReinstall"="h:\program files\Fichiers communs\Acronis\Partition Suite\oss_reinstall.exe" [2007-03-09 2227601]
"iTunesHelper"="h:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"fssui"="h:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"EEventManager"="h:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]
"CloneCDTray"="h:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"Ai Nap"="h:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2006-07-10 1093632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

h:\documents and settings\moi\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-7 113664]
esport2.exe [2010-2-23 1668984]
msconfig32.exe [2008-4-14 50176]
Outil de d‚tection de support Picture Motion Browser.lnk - h:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-3-21 344064]
Yahoo! Widget Engine.lnk - h:\program files\Yahoo!\Widgets\YahooWidgetEngine.exe [2007-7-20 2913584]

h:\documents and settings\moi\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-7 113664]
esport2.exe [2010-2-23 1668984]
msconfig32.exe [2008-4-14 50176]
Outil de d‚tection de support Picture Motion Browser.lnk - h:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-3-21 344064]
Yahoo! Widget Engine.lnk - h:\program files\Yahoo!\Widgets\YahooWidgetEngine.exe [2007-7-20 2913584]

h:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Acrobat Speed Launcher.lnk - h:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2007-3-8 25214]
Adobe Gamma Loader.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-7 113664]
Color Calibration.lnk - h:\program files\SEC\MagicTune3.6\GammaTray.exe [2007-3-7 36864]
DSLMON.lnk - h:\program files\SAGEM\SAGEM F@st 800-908\dslmon.exe [2007-11-27 962663]
Fenˆtre d'‚tat Canon LBP-810.LNK - h:\windows\system32\spool\drivers\w32x86\3\CAPPSWK.EXE [2007-3-12 114688]
Logitech SetPoint.lnk - h:\program files\Logitech\SetPoint\SetPoint.exe [2007-9-11 438272]
MagicTune 3.6.lnk - h:\program files\SEC\MagicTune3.6\MagicTuneTray.exe [2007-3-7 45056]
Microsoft Office.lnk - h:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2005-12-20 19:57 176128 ----a-w- h:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=h:\windows\system32\wbsys.dll

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=h:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Post-it® Digital Notes.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Post-it® Digital Notes.lnk
backup=h:\windows\pss\Post-it® Digital Notes.lnkCommon Startup

[HKLM\~\startupfolder\H:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^Free Music Zilla.lnk]
path=h:\documents and settings\moi\Menu Démarrer\Programmes\Démarrage\Free Music Zilla.lnk
backup=h:\windows\pss\Free Music Zilla.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\58827131]
h:\docume~1\ALLUSE~1\APPLIC~1\58827131\58827131.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]
2007-09-24 02:55 533944 ----a-w- h:\program files\Druide\Antidote\Gestionnaire Antidote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2010-02-24 08:30 57344 ----a-w- h:\program files\Google\GoogleToolbarNotifier\googletoolbarnotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"h:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\FrostWire\\FrostWire.exe"=
"h:\\Program Files\\Free Music Zilla\\FMZilla.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"2688:TCP"= 2688:TCP:Services
"6523:TCP"= 6523:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"6258:TCP"= 6258:TCP:Services
"7520:TCP"= 7520:TCP:Services
"3246:TCP"= 3246:TCP:Services
"6803:TCP"= 6803:TCP:Services

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;h:\program files\Avira\AntiVir Desktop\sched.exe [20/02/2010 14:50 108289]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [20/12/2008 18:12 54752]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;h:\windows\system32\drivers\fbxusb32.sys [06/03/2007 21:54 21344]
S0 sptd;sptd;h:\windows\system32\drivers\sptd.sys [12/03/2007 09:30 639224]
S2 darkness;IpSec service;h:\windows\system\svchost.exe --> h:\windows\system\svchost.exe [?]
S2 gupdate;Service Google Update (gupdate);h:\program files\Google\Update\GoogleUpdate.exe [01/02/2010 11:07 135664]
S2 RapidPort;RapidPort;h:\windows\system32\drivers\CAPLPTN.SYS [12/03/2007 16:31 22912]
S3 {5009C0B7-8A28-419A-A44FC652B569DDAF};{5009C0B7-8A28-419A-A44FC652B569DDAF};h:\windows\System32\svchost.exe -k netsvcs [30/08/2002 21:00 14336]
S3 adiusbae;USB ADSL LAN Adapter;h:\windows\system32\DRIVERS\adiusbae.sys --> h:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 EPUSBSTOR;EPSON USB Storage Driver;h:\windows\system32\drivers\epusbsto.sys [09/09/2001 23:00 17976]
S3 fsssvc;Service Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]
S3 P1120VID;Creative WebCam NX Ultra;h:\windows\system32\drivers\P1120Vid.sys [12/01/2004 15:51 1252474]
S3 se57bus;Sony Ericsson Device 087 driver (WDM);h:\windows\system32\drivers\se57bus.sys [14/01/2008 12:05 61536]
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;h:\windows\system32\drivers\se57mdfl.sys [14/01/2008 12:05 9360]
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;h:\windows\system32\drivers\se57mdm.sys [14/01/2008 12:05 97088]
S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);h:\windows\system32\drivers\se57mgmt.sys [14/01/2008 12:06 88624]
S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);h:\windows\system32\drivers\se57nd5.sys [14/01/2008 12:07 18704]
S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;h:\windows\system32\drivers\se57obex.sys [14/01/2008 12:06 86432]
S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);h:\windows\system32\drivers\se57unic.sys [14/01/2008 12:07 90800]
S3 vaxscsi;vaxscsi;h:\windows\system32\Drivers\vaxscsi.sys --> h:\windows\system32\Drivers\vaxscsi.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
2007-09-19 09:32 7680 ----a-w- h:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Contenu du dossier 'Tâches planifiées'

2010-01-30 h:\windows\Tasks\AppleSoftwareUpdate.job
- h:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-02-25 h:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- h:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 10:07]

2010-02-25 h:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- h:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 10:07]

2010-02-05 h:\windows\Tasks\Maintenance en 1 clic.job
- h:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 12:47]

2010-02-25 h:\windows\Tasks\User_Feed_Synchronization-{19CD4210-D48C-4937-A127-CE53B916B143}.job
- h:\windows\system32\msfeedssync.exe [2007-08-13 08:01]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: Convert link target to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - h:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
Trusted Zone: localhost
DPF: DirectAnimation Java Classes - file://h:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://h:\windows\Java\classes\xmldso.cab
FF - ProfilePath - h:\documents and settings\moi\Application Data\Mozilla\Firefox\Profiles\cllfwo1r.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: h:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - h:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-25 19:58
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x893AE0E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb910cf28
\Driver\ACPI -> 0x893ae0e8
\Driver\atapi -> atapi.sys @ 0xb8f36852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(800)
h:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
.
Heure de fin: 2010-02-25 20:01:00
ComboFix-quarantined-files.txt 2010-02-25 19:00
ComboFix2.txt 2010-02-25 17:09
ComboFix3.txt 2010-02-19 22:09
ComboFix4.txt 2010-02-19 21:26

Avant-CF: 47 928 860 672 octets libres
Après-CF: 47 905 783 808 octets libres

- - End Of File - - 81944E7B2F598526308457C536E8B93A

merci pour votre aide

Configuration: Windows xp / Firefox 3.5.8

A voir également:

Ecran bleu + trojan
Double ecran - Guide
Écran bleu - Guide
Capture d'écran samsung - Guide
Capture d'écran whatsapp - Accueil - Messagerie instantanée
Trojan remover - Télécharger - Antivirus & Antimalwares

50 réponses

Réponse 21 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 févr. 2010 à 10:43

hello,

y quelque chose qui ne tourne pas rond .....

fais ceci stp :

Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

qttask

* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

Réponse 22 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 11:05

nouveau rapport :

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 11:02:10 le 28/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. qttask
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15.
16. "h:\Program Files\QuickTime\qttask .exe" [ ----A---- | 385024 ]
17. TC: 31/01/2008,23:13:08 | TM: 31/01/2008,23:13:08 | DA: 24/02/2010,18:14:22
18. MD5: bafcf6cf19ce4882039c52dfa17be35f
19.
20.
21. CompagnyName: Apple Inc.
22. ProductName: QuickTime
23. InternalName: QuickTime Task
24. OriginalFilename: QTTask.exe
25. LegalCopyright: Copyright Apple Inc. 1989-2008
26. ProductVersion: QuickTime 7.4.1
27. FileVersion: 7.4.1
28.
29. =========================
30.
31. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
32.
33. Aucun dossier trouvé
34.
35.
36. ====== Entrée(s) du registre ======
37.
38.
39.
40. [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
41. "H:\Program Files\QuickTime\qttask.exe"="Windows NT ClipBook Viewer"
42.
43. [HKEY_LOCAL_MACHINE\SOFTWARE\Apple Computer, Inc.\QuickTime\ActiveX]
44. "QTTask"="H:\Program Files\QuickTime\QTTask.exe"
45.
46. [HKEY_LOCAL_MACHINE\SOFTWARE\Apple Computer, Inc.\QuickTime\ActiveX]
47. "QTTaskRunFlags"=""
48.
49. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\31C8B278176E92746A17AC1E82F60F99]
50. "98B69DFB967B6DC41BE17EF9DF640F76"="H:\Program Files\QuickTime\QTTask.exe"
51.
52. [HKEY_USERS\S-1-5-21-57989841-1085031214-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
53. "H:\Program Files\QuickTime\qttask.exe"="Windows NT ClipBook Viewer"
54.
55. =========================
56.
57. Fin à: 11:03:02 le 28/02/2010 ( E.O.F )

Réponse 23 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 févr. 2010 à 17:27

bien ....

il faudra que tu réinstalle ce logiciel > CloneCD

1- dis moi combien il y a de qttask.exe dans ce dossier > H:\Program Files\QuickTime

=====================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

Réponse 24 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 18:53

il y a 1 fichier qttask

voici le rapport :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:46:41, 28/02/2010 | Mode Normal | Option: SCAN
Exécuté de: H:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: MOREL-0QEHFEG3N | Utilisateur actuel: moi
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

H:\DOCUME~1\moi\APPLIC~1\EoRezo
H:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\#SharedObjects\SYG8AUBP\casino.com
H:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#casino.com
H:\Documents and Settings\HelpAssistant\Application Data\EoRezo
.
HKCU\software\EoRezo
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKU\s-1-5-21-57989841-1085031214-839522115-1004\software\EoRezo
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
Nom du profil: cllfwo1r.default (moi)
.
(moi, Invalidprefs.js) Browser.download.lastDir, H:\doc bulletin nÂ°11
(moi, Invalidprefs.js) Browser.search.defaultenginename, Live Search
(moi, Invalidprefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(moi, Invalidprefs.js) Browser.search.selectedEngine, Google
(moi, Invalidprefs.js) Browser.startup.homepage, hxxp://lo.st#
(moi, Invalidprefs.js) Extensions.enabledItems, {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:3.5,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.4
(moi, Invalidprefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
.
(moi, prefs.js) Browser.download.lastDir, H:\Documents and Settings\moi\Mes documents\Mes fichiers reÃ§us
(moi, prefs.js) Browser.search.defaultenginename, Live Search
(moi, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(moi, prefs.js) Browser.search.selectedEngine, Google
(moi, prefs.js) Browser.startup.homepage, hxxp://go.microsoft.com/fwlink/?LinkId=69157
(moi, prefs.js) Extensions.enabledItems, {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7,illimitux@illimitux.net:3.4,{9AA46F4F-4DC7-4c06-97AF-5035170634FE}:3.3.3,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,jiwack@akryus.net:2.3.3.9,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(moi, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
.
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: H:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Use Search Asst: no
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://lo.st/?tabs
.
============== Suspect (Cracks, Serials, ...) ==============
.
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\7zS2C.tmp\AU\patch.exe
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\HouseCall\bspatch.exe
.
===================================
.
4171 Octet(s) - H:\Ad-Report-SCAN[1].log
.
2 Fichier(s) - H:\DOCUME~1\moi\LOCALS~1\Temp
1 Fichier(s) - H:\WINDOWS\Temp
129 Fichier(s) - H:\WINDOWS\Prefetch
.
4 Fichier(s) - H:\Ad-Remover\BACKUP
0 Fichier(s) - H:\Ad-Remover\QUARANTINE
.
Fin à: 18:49:37 | 28/02/2010 - SCAN[1]
.
============== E.O.F ==============
.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 févr. 2010 à 19:00

bien ...

dans l'ordre :

1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

=======================

2- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,

:Files
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\7zS2C.tmp\AU\patch.exe
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\HouseCall\bspatch.exe

:Commands
[purity]
[emptytemp]
[Reboot]

et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 26 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 19:20

voici le rapport, je continue la procédure...

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:05:20, 28/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: H:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: MOREL-0QEHFEG3N | Utilisateur actuel: moi
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

H:\DOCUME~1\moi\APPLIC~1\EoRezo
H:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\#SharedObjects\SYG8AUBP\casino.com
H:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#casino.com
H:\Documents and Settings\HelpAssistant\Application Data\EoRezo

(!) -- Fichiers temporaires supprimés.

.
HKCU\software\EoRezo
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
Nom du profil: cllfwo1r.default (moi)
.
(moi, Invalidprefs.js) Browser.download.lastDir, H:\doc bulletin nÂ°11
(moi, Invalidprefs.js) Browser.search.defaultenginename, Live Search
(moi, Invalidprefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(moi, Invalidprefs.js) Browser.search.selectedEngine, Google
(moi, Invalidprefs.js) Browser.startup.homepage, hxxp://lo.st#
(moi, Invalidprefs.js) Extensions.enabledItems, {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:3.5,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.4
(moi, Invalidprefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
.
(moi, prefs.js) Browser.download.lastDir, H:\Documents and Settings\moi\Mes documents\Mes fichiers reÃ§us
(moi, prefs.js) Browser.search.defaultenginename, Live Search
(moi, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(moi, prefs.js) Browser.search.selectedEngine, Google
(moi, prefs.js) Browser.startup.homepage, hxxp://go.microsoft.com/fwlink/?LinkId=69157
(moi, prefs.js) Extensions.enabledItems, {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7,illimitux@illimitux.net:3.4,{9AA46F4F-4DC7-4c06-97AF-5035170634FE}:3.3.3,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,jiwack@akryus.net:2.3.3.9,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(moi, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
.
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: H:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\7zS2C.tmp\AU\patch.exe
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\HouseCall\bspatch.exe
.
===================================
.
4368 Octet(s) - H:\Ad-Report-CLEAN[1].log
4503 Octet(s) - H:\Ad-Report-SCAN[1].log
.
1 Fichier(s) - H:\DOCUME~1\moi\LOCALS~1\Temp
3 Fichier(s) - H:\WINDOWS\Temp
0 Fichier(s) - H:\WINDOWS\Prefetch
.
21 Fichier(s) - H:\Ad-Remover\BACKUP
9 Fichier(s) - H:\Ad-Remover\QUARANTINE
.
Fin à: 19:15:59 | 28/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Réponse 27 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 19:34

rapport moveit :

All processes killed
========== FILES ==========
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\7zS2C.tmp\AU\patch.exe moved successfully.
H:\Documents and Settings\HelpAssistant\Local Settings\Temp\HouseCall\bspatch.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: HelpAssistant
->Temp folder emptied: 53563234 bytes
->Temporary Internet Files folder emptied: 24895696 bytes
->Java cache emptied: 21877445 bytes
->FireFox cache emptied: 40995251 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 259282 bytes

User: moi
->Temp folder emptied: 17099 bytes
->Temporary Internet Files folder emptied: 9994374 bytes
->Java cache emptied: 77790098 bytes
->FireFox cache emptied: 66875719 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2830336 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 512 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 285,00 mb

OTM by OldTimer - Version 3.1.9.0 log created on 02282010_192343

Files moved on Reboot...
H:\Documents and Settings\moi\Local Settings\Temp\~DF1A23.tmp moved successfully.
H:\WINDOWS\temp\ZLT00576.TMP moved successfully.
H:\WINDOWS\temp\ZLT00579.TMP moved successfully.

Registry entries deleted on Reboot...

Réponse 28 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 19:49

http://www.cijoint.fr/cjlink.php?file=cj201002/cij15NppDU.txt

j'attends la suite...

Réponse 29 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 févr. 2010 à 20:43

bien ....

On avance ... ^^

reste quelques fichiers louches à contrôler :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
h:\windows\system32\libpq.dll

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

h:\windows\system32\SliderExCtrl.ocx
h:\windows\system32\WinSys.exe
h:\windows\system32\ZIPDLL.DLL

Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...

======================

3- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Réponse 30 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 23:45

Rapport de h:\windows\system32\libpq.dll

MD5: 609d5f28311577491ce64925e0edc139
First received: 2009.03.24 13:14:55 UTC
Date 2009.11.13 16:40:32 UTC [>107D]
Résultats 0/41
Permalink: analisis/19ac6d2a655814cd97d7b1a0ca657f7860bd8f32d440c0fa2cebcd63e93a2da7-1258130432

Rapport de h:\windows\system32\SliderExCtrl.ocx

MD5: 6095b3060ff2e7ede1ff62c1c175088c
First received: 2009.10.30 14:20:17 UTC
Date 2009.10.30 14:20:17 UTC [>121D]
Résultats 0/41
Permalink: analisis/6206783ee179c5c9eb061f527ecccaf6b20349164314a3e12a524e7567904fb6-1256912417

Rapport de h:\windows\system32\WinSys.exe

MD5: 7f8e737952aefef621ac6f01a9b3547e
First received: 2007.04.05 12:28:22 UTC
Date 2009.11.19 23:39:10 UTC [>100D]
Résultats 0/41
Permalink: analisis/9339f68761529d24a306e1dda562f8290e3b6d4fa21280b78df4d76b54e3d219-1258673950

Rapport de h:\windows\system32\ZIPDLL.DLL

MD5: 80aa78f2c5bc75a3612760602c6f6d55
First received: 2006.08.03 17:31:26 UTC
Date 2009.12.31 10:33:38 UTC [>59D]
Résultats 0/40
Permalink: analisis/a5b5350195d9f5db3736956e6c6ea4dc391685cebbee0b166cbf4afdc3ff7c35-1262255618

Réponse 31 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
28 févr. 2010 à 23:53

Rapport UsbFix :

############################## | UsbFix V6.097 |

User : moi (Administrateurs) # MOREL-0QEHFEG3N
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:49:38 | 28/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : ZoneAlarm Pro Firewall[ Enabled ]7.0.462.000

C:\ -> Disque fixe local # 232,88 Go (13,69 Go free) [LaCie] # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 298,08 Go (44,43 Go free) # NTFS
I:\ -> Disque amovible
J:\ -> Disque amovible # 7,45 Go (6,13 Go free) [UDISK] # FAT32

############################## | Processus actifs |

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Avira\AntiVir Desktop\avguard.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\CAPRPCSK.EXE
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\alg.exe
H:\Program Files\Analog Devices\Core\smax4pnp.exe
H:\Program Files\ASUS\AASP\1.00.01\aaCenter.exe
H:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
H:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\Java\jre6\bin\jusched.exe
H:\Program Files\Avira\AntiVir Desktop\avgnt.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
H:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
H:\Program Files\SEC\MagicTune3.6\GammaTray.exe
H:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
H:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
H:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
H:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\autorun.inf
C:\._autorun.inf

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

################## | Vaccin |

################## | ! Fin du rapport # UsbFix V6.097 ! |

Réponse 32 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 mars 2010 à 00:06

bien ....

la suite dans l'ordre :

1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

=========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 33 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
1 mars 2010 à 09:01

Rapport usbfix
############################## | UsbFix V6.097 |

User : moi (Administrateurs) # MOREL-0QEHFEG3N
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 08:41:15 | 01/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : ZoneAlarm Pro Firewall[ Enabled ]7.0.462.000

C:\ -> Disque fixe local # 232,88 Go (13,69 Go free) [LaCie] # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 298,08 Go (44,32 Go free) # NTFS
I:\ -> Disque amovible
J:\ -> Disque amovible # 7,45 Go (6,13 Go free) [UDISK] # FAT32

############################## | Processus actifs |

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Avira\AntiVir Desktop\avguard.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\Program Files\Google\Update\GoogleUpdate.exe
H:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\Program Files\Google\Update\GoogleUpdate.exe
H:\WINDOWS\system32\CAPRPCSK.EXE
H:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\autorun.inf
Supprimé ! C:\._autorun.inf
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3335275554-1579930885-2527724683-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-91712967-3305718310-2781739181-1000
Supprimé ! C:\Recycler\S-1-5-21-57989841-1085031214-839522115-1004
Supprimé ! H:\Recycler\S-1-5-21-57989841-1085031214-839522115-1004

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[05/01/2009 10:24|---hs----|29018] C:\.VolumeIcon.icns
[05/01/2009 10:24|---hs----|25214] C:\.VolumeIcon.ico
[12/10/2009 13:04|--a------|1066058] C:\04.10.09 078 (2).jpg
[07/09/2009 11:18|--a------|53] C:\biosinfo
[05/01/2009 10:24|---------|126976] C:\LaCie.exe
[05/01/2009 10:24|---h-----|390] C:\LaCie.ini
[07/09/2009 11:16|--a------|20] C:\sccfg.sys
[12/10/2009 12:55|--ahs----|3072] C:\Thumbs.db
[28/02/2010 19:15|--a------|4744] H:\Ad-Report-CLEAN[1].log
[28/02/2010 18:49|--a------|4503] H:\Ad-Report-SCAN[1].log
[08/03/2007 15:24|--a------|215] H:\Boot.bak
[19/02/2010 16:33|-rahs----|286] H:\boot.ini
[30/08/2002 21:00|-rahs----|4952] H:\Bootfont.bin
[20/06/2007 15:09|--a------|2703026] H:\cevenne lozere.pdf
[03/08/2004 23:00|--a------|263488] H:\cmldr
[28/02/2010 10:12|--a------|24020] H:\ComboFix.txt
[08/03/2007 15:20|-rahs----|47564] H:\NTDETECT.COM
[17/09/2008 09:11|-rahs----|252240] H:\ntldr
[?|?|?] H:\pagefile.sys
[19/02/2010 11:23|--a------|6360] H:\rapport.txt
[19/02/2010 11:33|--a------|6360] H:\rapport2010.txt
[28/02/2010 11:03|--a------|1978] H:\SEAFlog.txt
[28/02/2010 11:03|--a------|1759] H:\TmpSeaf.txt
[01/03/2010 08:49|--a------|4041] H:\UsbFix.txt
[19/02/2010 12:20|--a------|432] H:\vir2010.txt
[12/03/2003 12:50|--ah-----|140] H:\WM800918.bin
[16/01/2008 09:35|--a------|16488848] H:\zapSetup_70_462_000_fr.exe
[26/02/2010 11:34|--a------|3098] H:\ZHPExportRegistry-26-02-2010-11-34-04.txt
[18/02/2010 15:45|--a------|4294] J:\St‚phane.pdf
[18/02/2010 09:55|--a------|2726396] J:\IMGP2762.JPG
[18/02/2010 09:59|--a------|2906793] J:\IMGP2763.JPG
[18/02/2010 10:00|--a------|2967750] J:\IMGP2764.JPG
[18/02/2010 10:00|--a------|2818035] J:\IMGP2765.JPG
[18/02/2010 10:00|--a------|2692648] J:\IMGP2766.JPG
[18/02/2010 10:00|--a------|2990419] J:\IMGP2768.JPG
[18/02/2010 10:01|--a------|2623676] J:\IMGP2769.JPG
[18/02/2010 09:55|--a------|1117152] J:\IMGP2761.JPG
[18/02/2010 15:50|--a------|219136] J:\St‚phane.doc
[09/02/2010 20:03|--a------|825344] J:\capitelles bibliotheque version5.qxl
[02/07/2008 18:18|--a------|45056] J:\capitelles bibliotheque.qxl
[22/02/2010 11:52|--a------|4211132] J:\IMGP2763b.tif
[22/02/2010 11:51|--a------|4211400] J:\IMGP2762b.tif
[22/02/2010 11:18|--a------|103140948] J:\IMGP2761b.tif
[25/02/2010 14:59|--a------|20623034] J:\capitelles 137.pdf
[25/02/2010 20:01|--a------|24504] J:\ComboFix.txt
[28/07/2009 16:41|--ahs----|285696] J:\ehthumbs_vista.db

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : H:\UsbFix_Upload_Me_MOREL-0QEHFEG3N.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |

Rapport ZHPdiag

http://www.cijoint.fr/cjlink.php?file=cj201003/cijuNoK4es.txt

Réponse 34 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 mars 2010 à 10:35

bien ....

1- si ce n'est pas déjà fait , rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097

* clique sur "parcourir" et va jusqu'au fichier H:\UsbFix_Upload_Me_MOREL-0QEHFEG3N.zip

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_MOREL-0QEHFEG3N.zip

merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^

============================

2- Va sur "démarrer" / cliques sur la commande "Exécuter" :
Ou appuie simultanement sur la touche "Windows" et sur R > la boite de commande "Executer" va s´ouvrir...

A- Là tu tapes ou copies/colles exactement ceci :

sc stop darkness ---> puis tapes sur [Entrée]

Puis recommence avec
sc delete darkness ---> puis tapes sur [Entrée]

B- Reprends la même même chose avec :

sc stop kwtiikow ---> puis tapes sur [Entrée]

Puis recommence avec
sc delete kwtiikow ---> puis tapes sur [Entrée]

===========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 35 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
1 mars 2010 à 11:08

voici le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj201003/cijTkytvva.txt

Réponse 36 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 mars 2010 à 11:18

re,

cela n'a pas fonctionné ...

on va faie autrement :

1- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Driver::
darkness
kwtiikow

* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 37 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
1 mars 2010 à 11:55

rapport combofix

ComboFix 10-02-26.02 - moi 01/03/2010 11:33:29.9.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1544 [GMT 1:00]
Lancé depuis: h:\documents and settings\moi\Bureau\ComboFix.exe
Commutateurs utilisés :: h:\documents and settings\moi\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Pro Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DARKNESS
-------\Legacy_KWTIIKOW

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-01 au 2010-03-01 ))))))))))))))))))))))))))))))))))))
.

2010-03-01 10:32 . 2010-03-01 10:32 -------- d-----w- H:\32788R22FWJFW
2010-02-28 22:48 . 2010-03-01 07:49 -------- d-----w- H:\UsbFix
2010-02-28 18:23 . 2010-02-28 18:23 -------- d-----w- H:\_OTM
2010-02-28 17:46 . 2010-02-28 18:15 -------- d-----w- H:\Ad-Remover
2010-02-28 10:01 . 2010-02-28 10:03 -------- d-----w- h:\program files\SEAF
2010-02-26 10:49 . 2010-02-26 10:49 -------- d-----w- h:\documents and settings\moi\Application Data\Malwarebytes
2010-02-26 10:49 . 2010-01-07 15:07 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2010-02-26 10:49 . 2010-02-26 10:49 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2010-02-26 10:49 . 2010-02-26 10:49 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-26 10:49 . 2010-01-07 15:07 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
2010-02-26 10:09 . 2010-02-26 10:34 -------- d-----w- h:\program files\ZHPFix
2010-02-26 09:11 . 2010-02-26 11:23 -------- d-----w- h:\program files\ZHPDiag
2010-02-25 19:12 . 2010-02-25 19:12 -------- d-----w- h:\documents and settings\moi\Local Settings\Application Data\Temp
2010-02-24 17:44 . 2010-02-24 17:44 -------- d-----w- h:\documents and settings\LocalService\Application Data\Quark
2010-02-23 15:24 . 2008-04-13 19:40 8192 -c--a-w- h:\windows\system32\dllcache\changer.sys
2010-02-23 10:49 . 2010-02-23 10:49 -------- d-----w- h:\documents and settings\moi\Application Data\Nero
2010-02-23 10:49 . 2010-02-23 10:49 -------- d-----w- h:\documents and settings\moi\Local Settings\Application Data\Xenocode
2010-02-20 13:50 . 2009-03-30 08:32 96104 ----a-w- h:\windows\system32\drivers\avipbb.sys
2010-02-20 13:50 . 2009-02-13 10:28 22360 ----a-w- h:\windows\system32\drivers\avgntmgr.sys
2010-02-20 13:50 . 2009-11-25 10:19 56816 ----a-w- h:\windows\system32\drivers\avgntflt.sys
2010-02-20 13:50 . 2009-02-13 10:17 45416 ----a-w- h:\windows\system32\drivers\avgntdd.sys
2010-02-20 13:50 . 2010-02-20 13:50 -------- d-----w- h:\program files\Avira
2010-02-20 13:50 . 2010-02-20 13:50 -------- d-----w- h:\documents and settings\All Users\Application Data\Avira
2010-02-19 13:33 . 2009-05-07 07:04 157712 ----a-w- h:\windows\system32\drivers\tmcomm.sys
2010-02-19 11:24 . 2010-02-19 11:24 -------- d-----w- h:\program files\Trend Micro
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\WINDOWS
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\UserData
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\Tracing
2010-02-18 10:39 . 2010-02-18 10:39 -------- d-----w- h:\documents and settings\HelpAssistant\Shared
2010-02-18 09:10 . 2010-02-18 09:10 -------- d-----w- H:\found.000
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\Incomplete
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\IETldCache
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\dwhelper
2010-02-18 08:31 . 2010-02-18 08:31 -------- d-----w- h:\documents and settings\HelpAssistant\Contacts
2010-02-15 15:25 . 2010-02-15 15:34 -------- d-----w- H:\credit agricole 2010
2010-02-10 15:39 . 2010-02-24 13:32 -------- d-----w- H:\rib
2010-02-04 18:45 . 2010-02-04 18:45 -------- d-----w- h:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-02-01 10:07 . 2010-02-01 10:07 -------- d-----w- h:\documents and settings\LocalService\Local Settings\Application Data\Google

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-27 10:16 . 2009-01-15 15:51 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-02-26 23:07 . 2010-02-27 10:09 7816704 ----a-w- h:\windows\Internet Logs\xDBC.tmp
2010-02-26 10:28 . 2008-03-28 14:11 -------- d-----w- h:\program files\iTunes
2010-02-26 09:39 . 2007-04-16 06:38 28253630 ----a-w- h:\windows\Internet Logs\tvDebug.zip
2010-02-26 07:44 . 2007-11-09 09:23 -------- d-----w- h:\program files\QuickTime
2010-02-25 19:01 . 2010-02-25 19:04 7772672 ----a-w- h:\windows\Internet Logs\xDBB.tmp
2010-02-25 19:01 . 2010-02-25 19:04 5528576 ----a-w- h:\windows\Internet Logs\xDBA.tmp
2010-02-25 17:57 . 2008-12-01 09:32 -------- d-----w- h:\program files\Pando Networks
2010-02-25 11:12 . 2009-04-10 18:18 -------- d-----w- h:\documents and settings\moi\Application Data\My Stitch
2010-02-25 11:09 . 2007-06-27 14:43 -------- d-----w- h:\program files\foobar2000
2010-02-25 11:09 . 2007-03-07 14:34 -------- d-----w- h:\program files\eMule
2010-02-24 18:44 . 2008-07-01 13:27 -------- d-----w- h:\program files\Free Music Zilla
2010-02-23 09:30 . 2010-02-23 09:35 7643136 ----a-w- h:\windows\Internet Logs\xDB29.tmp
2010-02-23 09:30 . 2010-02-23 09:35 3200512 ----a-w- h:\windows\Internet Logs\xDBD.tmp
2010-02-22 15:52 . 2010-02-22 15:57 7631872 ----a-w- h:\windows\Internet Logs\xDB2E.tmp
2010-02-20 13:33 . 2007-10-09 15:00 -------- d-----w- h:\program files\Google
2010-02-19 22:10 . 2010-02-20 08:08 7588352 ----a-w- h:\windows\Internet Logs\xDB28.tmp
2010-02-19 19:11 . 2010-02-19 19:15 7579136 ----a-w- h:\windows\Internet Logs\xDB27.tmp
2010-02-19 19:11 . 2010-02-19 19:15 4550656 ----a-w- h:\windows\Internet Logs\xDB26.tmp
2010-02-19 17:04 . 2010-02-19 17:33 7578624 ----a-w- h:\windows\Internet Logs\xDB25.tmp
2010-02-19 14:44 . 2010-02-19 14:44 128091 ----a-w- h:\windows\Internet Logs\vsmon_2nd_2010_02_19_14_50_50_small.dmp.zip
2010-02-19 08:42 . 2010-02-19 08:49 7475200 ----a-w- h:\windows\Internet Logs\xDB24.tmp
2010-02-19 08:42 . 2010-02-19 08:49 4109824 ----a-w- h:\windows\Internet Logs\xDB23.tmp
2010-02-18 09:25 . 2010-02-18 09:33 7469056 ----a-w- h:\windows\Internet Logs\xDB22.tmp
2010-02-18 09:25 . 2010-02-18 09:33 2567680 ----a-w- h:\windows\Internet Logs\xDB21.tmp
2010-02-17 19:33 . 2010-02-17 19:36 7465472 ----a-w- h:\windows\Internet Logs\xDB20.tmp
2010-02-12 09:05 . 2009-09-27 18:39 -------- d-----w- h:\documents and settings\All Users\Application Data\NOS
2010-02-04 18:38 . 2010-02-04 18:46 7409152 ----a-w- h:\windows\Internet Logs\xDB1F.tmp
2010-02-01 10:08 . 2007-04-16 19:45 -------- d-----w- h:\documents and settings\moi\Application Data\U3
2010-01-26 15:15 . 2009-03-03 15:44 -------- d-----w- h:\documents and settings\moi\Application Data\dvdcss
2010-01-25 20:15 . 2009-09-15 09:32 -------- d-----w- h:\program files\MediaCoder
2010-01-20 13:00 . 2008-09-19 07:51 -------- d-----w- h:\program files\Microsoft Silverlight
2010-01-20 07:15 . 2010-01-20 07:15 40414 ----a-w- h:\windows\Internet Logs\vsmon_2nd_2010_01_20_08_09_16_small.dmp.zip
2010-01-05 09:56 . 2006-06-23 12:28 832512 ------w- h:\windows\system32\wininet.dll
2010-01-05 09:56 . 2009-07-16 13:17 78336 ----a-w- h:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2002-08-30 20:00 17408 ----a-w- h:\windows\system32\corpol.dll
2009-12-31 16:50 . 2002-08-30 20:00 353792 ----a-w- h:\windows\system32\drivers\srv.sys
2009-12-21 08:09 . 2007-03-07 15:35 4212 ---h--w- h:\windows\system32\zllictbl.dat
2009-12-17 07:41 . 2007-03-06 20:06 347648 ----a-w- h:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2002-08-30 20:00 33280 ----a-w- h:\windows\system32\csrsrv.dll
2009-12-09 10:08 . 2002-08-30 20:00 2147328 ------w- h:\windows\system32\ntoskrnl.exe
2009-12-09 10:08 . 2002-08-29 11:42 2025984 ------w- h:\windows\system32\ntkrnlpa.exe
2009-12-05 17:42 . 2009-11-04 07:28 152576 ----a-w- h:\documents and settings\moi\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-05 17:41 . 2009-12-05 17:41 79488 ----a-w- h:\documents and settings\moi\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-04 18:22 . 2002-08-30 20:00 455424 ----a-w- h:\windows\system32\drivers\mrxsmb.sys
2009-12-03 15:50 . 2009-12-03 15:53 7265792 ----a-w- h:\windows\Internet Logs\xDB1D.tmp
2009-12-03 15:50 . 2009-12-03 15:53 232448 ----a-w- h:\windows\Internet Logs\xDB1C.tmp
2008-07-01 13:26 . 2008-07-01 13:26 553754 ----a-w- h:\program files\fmzsetup.zip
2008-07-01 12:07 . 2008-07-01 12:07 274435 ----a-w- h:\program files\video_downloadhelper-3.1-fx.xpi
2008-02-26 11:44 . 2008-07-01 14:52 49152 ----a-w- h:\program files\FLVExtract.exe
2007-10-11 14:07 . 2007-10-11 13:33 593 ----a-w- h:\program files\SolidWorksswxJRNL.BAK
2007-06-26 17:11 . 2007-03-07 18:10 21 ----a-w- h:\program files\Fichiers communs\appop.log
2007-03-08 11:20 . 2007-03-08 11:20 274425064 ----a-w- h:\program files\WindowsXP-KB835935-SP2-FRA.exe
2007-03-08 10:37 . 2007-03-08 10:37 25839688 ----a-w- h:\program files\wmp11-windowsxp-x86-FR-FR.exe
2007-03-07 17:42 . 2007-03-07 17:42 18540087 ----a-w- h:\program files\klcodec285f.exe
2007-03-07 17:10 . 2007-03-07 17:10 6652812 ----a-w- h:\program files\sld.codec.pack.2.2.exe
2007-03-07 15:32 . 2007-03-07 15:32 11486192 ----a-w- h:\program files\Zone Alarm Pro - v6[1].1.744.rar
2007-03-07 15:27 . 2007-03-07 15:27 2137082 ----a-w- h:\program files\WinRAR - v3.62.exe
2007-03-07 14:56 . 2007-03-07 14:56 1239066 ----a-w- h:\program files\WINISO53.EXE
2007-03-07 14:34 . 2007-03-07 14:34 3534076 ----a-w- h:\program files\eMule0.47c-Installer.exe
2007-03-07 09:45 . 2007-03-07 09:45 5733301 ----a-w- h:\program files\91.31_forceware_3dstereo.exe
2007-03-07 08:45 . 2007-03-07 08:45 18003103 ----a-w- h:\program files\MagicTunePremium_1.0.32.exe
2007-03-07 08:32 . 2007-03-07 08:32 32830028 ----a-w- h:\program files\MagicTune3.6(64Bit)_1003.exe
.
[code]<pre>
h:\program files\QuickTime\qttask .exe
</pre>/code

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="h:\windows\System32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="h:\windows\System32\sw20.exe" [2006-05-18 208896]
"SW24"="h:\windows\System32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"SoundMAXPnP"="h:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-18 843776]
"AsusServiceProvider"="h:\program files\ASUS\AASP\1.00.01\aaCenter.exe" [2006-06-30 582144]
"Acrobat Assistant 7.0"="h:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 483328]
"CAPON"="h:\windows\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-14 22528]
"Opware12"="h:\program files\ScanSoft\OmniPagePro12.0\Opware12.exe" [2002-08-01 49152]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-03-10 28160]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="h:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OSSelectorReinstall"="h:\program files\Fichiers communs\Acronis\Partition Suite\oss_reinstall.exe" [N/A]
"iTunesHelper"="h:\program files\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"fssui"="h:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"EEventManager"="h:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]
"Ai Nap"="h:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2006-07-10 1093632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

h:\documents and settings\moi\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-7 113664]
Outil de d‚tection de support Picture Motion Browser.lnk - h:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-3-21 344064]
Yahoo! Widget Engine.lnk - h:\program files\Yahoo!\Widgets\YahooWidgetEngine.exe [2007-7-20 2913584]

h:\documents and settings\moi\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-7 113664]
Outil de d‚tection de support Picture Motion Browser.lnk - h:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-3-21 344064]
Yahoo! Widget Engine.lnk - h:\program files\Yahoo!\Widgets\YahooWidgetEngine.exe [2007-7-20 2913584]

h:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Acrobat Speed Launcher.lnk - h:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2007-3-8 25214]
Adobe Gamma Loader.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-7 113664]
Color Calibration.lnk - h:\program files\SEC\MagicTune3.6\GammaTray.exe [2007-3-7 36864]
DSLMON.lnk - h:\program files\SAGEM\SAGEM F@st 800-908\dslmon.exe [2007-11-27 962663]
Fenˆtre d'‚tat Canon LBP-810.LNK - h:\windows\system32\spool\drivers\w32x86\3\CAPPSWK.EXE [2007-3-12 114688]
Logitech SetPoint.lnk - h:\program files\Logitech\SetPoint\SetPoint.exe [2007-9-11 438272]
MagicTune 3.6.lnk - h:\program files\SEC\MagicTune3.6\MagicTuneTray.exe [2007-3-7 45056]
Microsoft Office.lnk - h:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2005-12-20 19:57 176128 ----a-w- h:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=h:\windows\system32\wbsys.dll

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=h:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Post-it® Digital Notes.lnk]
path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Post-it® Digital Notes.lnk
backup=h:\windows\pss\Post-it® Digital Notes.lnkCommon Startup

[HKLM\~\startupfolder\H:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^Free Music Zilla.lnk]
path=h:\documents and settings\moi\Menu Démarrer\Programmes\Démarrage\Free Music Zilla.lnk
backup=h:\windows\pss\Free Music Zilla.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]
2007-09-24 02:55 533944 ----a-w- h:\program files\Druide\Antidote\Gestionnaire Antidote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"h:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\FrostWire\\FrostWire.exe"=
"h:\\Program Files\\Free Music Zilla\\FMZilla.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"2688:TCP"= 2688:TCP:Services
"6523:TCP"= 6523:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"6258:TCP"= 6258:TCP:Services
"7520:TCP"= 7520:TCP:Services
"3246:TCP"= 3246:TCP:Services
"6803:TCP"= 6803:TCP:Services

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;h:\program files\Avira\AntiVir Desktop\sched.exe [20/02/2010 14:50 108289]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [20/12/2008 18:12 54752]
S2 gupdate;Service Google Update (gupdate);h:\program files\Google\Update\GoogleUpdate.exe [01/02/2010 11:07 135664]
S2 RapidPort;RapidPort;h:\windows\system32\drivers\CAPLPTN.SYS [12/03/2007 16:31 22912]
S3 {5009C0B7-8A28-419A-A44FC652B569DDAF};{5009C0B7-8A28-419A-A44FC652B569DDAF};h:\windows\System32\svchost.exe -k netsvcs [30/08/2002 21:00 14336]
S3 adiusbae;USB ADSL LAN Adapter;h:\windows\system32\DRIVERS\adiusbae.sys --> h:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 EPUSBSTOR;EPSON USB Storage Driver;h:\windows\system32\drivers\epusbsto.sys [09/09/2001 23:00 17976]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;h:\windows\system32\drivers\fbxusb32.sys [06/03/2007 21:54 21344]
S3 fsssvc;Service Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]
S3 P1120VID;Creative WebCam NX Ultra;h:\windows\system32\drivers\P1120Vid.sys [12/01/2004 15:51 1252474]
S3 se57bus;Sony Ericsson Device 087 driver (WDM);h:\windows\system32\drivers\se57bus.sys [14/01/2008 12:05 61536]
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;h:\windows\system32\drivers\se57mdfl.sys [14/01/2008 12:05 9360]
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;h:\windows\system32\drivers\se57mdm.sys [14/01/2008 12:05 97088]
S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);h:\windows\system32\drivers\se57mgmt.sys [14/01/2008 12:06 88624]
S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);h:\windows\system32\drivers\se57nd5.sys [14/01/2008 12:07 18704]
S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;h:\windows\system32\drivers\se57obex.sys [14/01/2008 12:06 86432]
S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);h:\windows\system32\drivers\se57unic.sys [14/01/2008 12:07 90800]
S3 vaxscsi;vaxscsi;h:\windows\system32\Drivers\vaxscsi.sys --> h:\windows\system32\Drivers\vaxscsi.sys [?]
S4 sptd;sptd;h:\windows\system32\drivers\sptd.sys [12/03/2007 09:30 639224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
2007-09-19 09:32 7680 ----a-w- h:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Contenu du dossier 'Tâches planifiées'

2010-02-27 h:\windows\Tasks\AppleSoftwareUpdate.job
- h:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-01 h:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- h:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 10:07]

2010-03-01 h:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- h:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 10:07]

2010-02-26 h:\windows\Tasks\Maintenance en 1 clic.job
- h:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 12:47]

2010-03-01 h:\windows\Tasks\User_Feed_Synchronization-{19CD4210-D48C-4937-A127-CE53B916B143}.job
- h:\windows\system32\msfeedssync.exe [2007-08-13 08:01]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: Convert link target to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - h:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - h:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
Trusted Zone: localhost
DPF: DirectAnimation Java Classes - file://h:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://h:\windows\Java\classes\xmldso.cab
FF - ProfilePath - h:\documents and settings\moi\Application Data\Mozilla\Firefox\Profiles\cllfwo1r.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: h:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - h:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 11:43
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(672)
h:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

- - - - - - - > 'Explorer.EXE'(392)
h:\progra~1\WINDOW~2\wmpband.dll
h:\windows\system32\eappprxy.dll
h:\windows\system32\WPDShServiceObj.dll
h:\windows\system32\PortableDeviceTypes.dll
h:\windows\system32\PortableDeviceApi.dll
h:\program files\Logitech\SetPoint\lgscroll.dll
.
------------------------ Autres processus actifs ------------------------
.
h:\program files\Avira\AntiVir Desktop\avguard.exe
h:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
h:\program files\Bonjour\mDNSResponder.exe
h:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
h:\program files\Java\jre6\bin\jqs.exe
h:\windows\System32\nvsvc32.exe
h:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
h:\windows\system32\CAPRPCSK.EXE
h:\windows\system32\RUNDLL32.EXE
h:\program files\iPod\bin\iPodService.exe
h:\program files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
h:\program files\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Heure de fin: 2010-03-01 11:51:51 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-01 10:51
ComboFix2.txt 2010-02-28 09:12
ComboFix3.txt 2010-02-27 12:43
ComboFix4.txt 2010-02-27 10:32
ComboFix5.txt 2010-03-01 10:32

Avant-CF: 47 343 353 856 octets libres
Après-CF: 47 225 356 288 octets libres

- - End Of File - - BC502670F6A393A5F9A36CDFEBED9564

Réponse 38 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 mars 2010 à 12:09

Bien ....

fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :

( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!

A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !

> Enfin clique en bas sur "Nettoyer" .

laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !

B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .

Puis ferme ZHPFix ...

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

======================================

5- Utilise AntiVir ainsi :

mets le à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes :
>secteur d'amorçage lecteurs de rech.
>Contrôler secteurs d'amorçage maître
>Suivre les liens symboliques
>Rech.Rootkit au dém. de la recherche
et décoche :
ignorer les fichiers hors ligne

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...

---> clique sur "OK" pour valider le réglage ...
****************************************

Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...

> poste moi le rapport obtenu ... Aide toi bien du tuto ;)

Réponse 39 / 50

evasion 30 Messages postés 39 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 2 mars 2010
1 mars 2010 à 12:28

j'ai " Vider la quarantaine "
mais je n'ai pas eu de message de confirmation pour cliquer sur "Ok" .

est ce que je ferme zhpfix ?
Je n'ai pas ccleaner est ce que je le telecharge et l'execute ?

le rapport zhpfix

ZHPFix v1.12.306 by Nicolas Coolman - Rapport de suppression du 01/03/2010 12:15:33
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
H:\ComboFix => Supprimé et mis en quarantaine
H:\Qoobox => Supprimé et mis en quarantaine
H:\UsbFix => Supprimé et mis en quarantaine

Fichier :
h:\combofix.txt => Supprimé et mis en quarantaine
h:\documents and settings\moi\bureau\usbfix.exe => Supprimé et mis en quarantaine
h:\usbfix.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
O63 - Logiciel: SEAF By C_XX => Logiciel supprimé avec succès
O63 - Logiciel: ZHPFix 1.12 => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix - (sUBs) => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix - (El Desaparecido) => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 3
Fichier : 3
Logiciel : 6
Autre : 0

End of the scan

Réponse 40 / 50

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 mars 2010 à 13:39

re,

pour CCleaner :

Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

et continue la manipe dans l'ordre ....

Discussions similaires

Comment supprimer le virus Trojan

mon image prend une dominante bleue