supprimer trojanRésolu/Fermé

Question

Bonjour,
Mon ordi est infester de trojan et je n'arrive pas a les supprimer car mon antivirus ne les trouves pas pouvez vous m'aider.Merci

verni29 · Answer

Bonsoir, vava201.

Comment sais-tu que ton ordi est infecté par des trojans si ce n'est pas ton antivirus qui te les détecte ?

Pour plus d'infos, commence par ceci :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

# Double-clique sur " RSIT.exe " pour le lancer . 
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis  1 month pour l'option "List files/folders created ...". 
# clique ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées. 

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

vava0201 · Answer

merci je vais essayer
sinon je le sais que j'ai des trojan car mon ordi tourne a 100% et que j'ai fait une analyse avec a2 il en a trouvé 166 je l'ai ai supprimer mais sa na rien changer

verni29 · Answer

OK, 

Utilise RSIT. Ce n'est qu'un outil de diagnostic. 
Il ne supprimera rien mais me permettra de repérer certaines infections.

Je ne serais de retour que vers 14 h.

A+

vava0201 · Answer

log.txt

                                                                                                                                                           Logfile of random's system information tool 1.06 (written by random/random)

Run by vava0201 at 2010-03-07 09:49:46
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 112 GB (42%) free of 264 GB
Total RAM: 3069 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:51, on 07/03/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\RtHDVCpl.exe
C:\hp\support\hpsysdrv.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Propel Accelerator\PropelAC.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\vava0201\Desktop\RSIT.exe
C:\Program Files	rend micro\vava0201.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.flashget.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Accelerator Plugin - {656EC4B7-072B-4698-B504-2A414C1F0037} - C:\PROGRA~1\PROPEL~1\PRPL_I~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Users\vava0201\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [Propel Accelerator] "C:\Program Files\Propel Accelerator	rayctl.exe" /STARTUPLAUNCH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Program Files\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Program Files\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [FlashGet 3] "C:\Program Files\FlashGet Network\FlashGet 3\Flashget3.exe" -minimize
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Stub] "C:\Users\vava0201\Downloads\Crack Cities Xl-Razor1911\Crack Cities Xl-Razor1911\Cities Xl.exe.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbaresources\fr-FR\local\search.html
O8 - Extra context menu item: Allow pop-ups from this site - C:\Program Files\Propel Accelerator\pac-addwl.html
O8 - Extra context menu item: Download all by FlashGet3 - C:\Users\vava0201\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
O8 - Extra context menu item: Download by FlashGet3 - C:\Users\vava0201\AppData\Roaming\FlashGetBHO\GetUrl.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Refresh Pa&ge with Full Quality - C:\Program Files\Propel Accelerator\pac-page.html
O8 - Extra context menu item: Refresh Pi&cture with Full Quality - C:\Program Files\Propel Accelerator\pac-image.html
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://software.kuaiche.com
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - C:\Program Files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

vava0201 · Answer

info.txt


info.txt logfile of random's system information tool 1.06 2010-03-07 09:43:54

======Uninstall list======

-->MsiExec /X{1C4551A6-4743-4093-91E4-1477CD655043}
7-Zip 9.10 beta-->"C:\Program Files\7-Zip\Uninstall.exe"
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{B3C2C1CD-6B77-4A96-B670-F734AC2A1CBC}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
AOL Toolbar 5.0-->"C:\Program Files\AOL\AOL Toolbar 5.0\uninstall.exe"
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
a-squared Free 4.5-->"C:\Program Files\a-squared Free\unins000.exe"
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
BitDefender Antivirus 2010-->MsiExec.exe /X{EF52336D-7A5C-4FD5-80DF-C44F19C60DC4}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Borderlands-->MsiExec.exe /X{52B65911-1559-4ED5-9461-46957FDD48CD}
Call Of Pripyat Benchmark 1.0-->"M:\ordinateur installeur\Call Of Pripyat Benchmark\unins000.exe"
Catalyst Control Center - Branding-->MsiExec.exe /I{2E4609A3-F5AF-4408-B0C4-B8B84BC753DF}
Cities XL-->C:\Program Files\Monte Cristo\Cities XL\uninst.exe
CyberLink DVD Suite Deluxe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe"  -uninstall
CyberLink PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
Dragon Age: Origins-->C:\Program Files\Common Files\BioWare\Uninstall Dragon Age.exe
EasyBCD 1.7.2-->C:\Program Files\NeoSmart Technologies\EasyBCD\uninstall.exe
EVEREST Ultimate Edition v5.30-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
FlashGet 3.3-->C:\Program Files\FlashGet Network\FlashGet 3\uninst.exe
FUEL-->C:\Program Files\InstallShield Installation Information\{F51FF206-2273-4B3E-A90A-4752AE288C12}\setup.exe -runfromtemp -l0x040c -removeonly
Gamestudio A7-->"C:\Program Files\GStudio7\uninstall.exe"
Grand Theft Auto IV-->"C:\Program Files\InstallShield Installation Information\{579BA58C-F33D-4970-9953-B94B43768AC3}\setup.exe" -runfromtemp -l0x040c -removeonly
GTA San Andreas-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\setup.exe" -l0x40c  -removeonly
Hamachi 1.0.1.5-->C:\Program Files\Hamachi\uninstall.exe
Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
Hewlett-Packard Asset Agent for Health Check-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotel Giant 2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6328CF1B-FA83-485C-94F5-B3D1B4B934E2}\setup.exe" -l0x40c  -uninst  -removeonly
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
HP Active Support Library-->C:\Program Files\InstallShield Installation Information\{E0810CC2-4B5B-4439-B1D0-452306AF2D64}\setup.exe -runfromtemp -l0x0409
HP Customer Experience Enhancements-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C27C82E4-9C53-4D76-9ED3-A01A3D5EE679}\setup.exe" -l0x9  -removeonly
HP Customer Feedback-->MsiExec.exe /I{9DBA770F-BF73-4D39-B1DF-6035D95268FC}
HP Easy Setup - Frontend-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E1476612-02D6-42A3-BDC1-E292B4115738}\setup.exe" -l0x9  -removeonly
HP Picasso Media Center Add-In-->MsiExec.exe /I{55979C41-7D6A-49CC-B591-64AC1BBE2C8B}
HP Update-->MsiExec.exe /X{11B83AD3-7A46-4C2E-A568-9505981D4C6F}
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
iTunes-->MsiExec.exe /I{F439D7AF-03F3-4F8E-AEC4-571BFE977C61}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe"  -uninstall
Les Sims™ 3 Inspiration Loft Kit-->"C:\Program Files\InstallShield Installation Information\{71828142-5A24-4BD0-97E7-976DA08CE6CF}\Sims3SP01Setup.exe" -runfromtemp -l0x040c -removeonly
Les Sims™ 3-->"C:\Program Files\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe" -runfromtemp -l0x040c -removeonly
LightScribe System Software  1.12.37.1-->MsiExec.exe /X{004C5DA2-2051-4D25-94BA-51CF810C91EB}
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
LogMeIn-->MsiExec.exe /I{34F93E31-E1A0-421C-8E86-BCF7C4193A91}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{00C5F4F4-62F9-40D7-8000-AD8A9CD0C669}
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{A1C962E2-2426-49C6-A38B-9A07E40D607C}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Microsoft Xbox 360 Accessories 1.2-->MsiExec.exe /X{046AB4DC-0B95-41A7-8DF7-98680297CC03}
MOBILI-TV-->C:\Program Files\InstallShield Installation Information\{7FF90D04-A60F-42A0-8F78-88623F99DCAC}\setup.exe -runfromtemp -l0x040c -removeonly
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSM2MSI_gstudio-->MsiExec.exe /I{C53F001E-5912-4E76-AC49-9AC20B36B1A2}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
muvee autoProducer 6.1-->C:\Program Files\InstallShield Installation Information\{FDDB69BB-2F9A-4830-A579-ABBB7C5AF9A8}\muveesetup.exe -removeonly -runfromtemp
NCsoft Launcher-->C:\Program Files\InstallShield Installation Information\{5F8E2CBB-949D-4175-AC98-5ADE7F6C9697}\setup.exe -runfromtemp -l0x040c -removeonly
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{1C4551A6-4743-4093-91E4-1477CD655043}
OpenOffice.org 3.2-->MsiExec.exe /I{97B3824E-B2D2-4C49-A860-BCA56F10B040}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Outils de diagnostic du matériel-->C:\Program Files\PC-Doctor 5 for Windows\uninst.exe
Outils Les Sims™ 3 Créez votre monde ! – Beta-->"C:\Program Files\InstallShield Installation Information\{65761BAE-11E8-48FE-B30F-1F01011AB906}\setup.exe" -runfromtemp -l0x040c -removeonly
Power2Go-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe"  -uninstall
Presto! PVR-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC0DCD27-345B-4013-A6E0-67EC92DF32C8}\setup.exe" -l0x40c -u -removeonly
Propel Accelerator-->C:\Program Files\Propel Accelerator	rayctl.exe /UNINSTALL
PSP Video 9 1.74-->C:\Program Files\pspvideo9\uninst.exe
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Python 2.5-->MsiExec.exe /I{0A2C5854-557E-48C8-835A-3B9F074BDCAA}
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Realm Crafter Demo-->"M:\ordinateur installeur\un_RealmCrafter_DEMO_23923.exe"
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|12.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly
Rockstar Games Social Club-->"C:\Program Files\InstallShield Installation Information\{08B3869E-D282-424C-9AFC-870E04A4BA14}\setup.exe" -runfromtemp -l0x040c -removeonly
Silkroad-->C:\Program Files\Silkroad\Remove.Exe
Solution de clavier multimédia amélioré-->C:\HP\KBD\Install.exe /u
SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
The Saboteur™-->MsiExec.exe /X{5C9A7E65-5B71-4C7F-876A-8C6AF9E9E23D}
Version de démonstration de Microsoft Office Home and Student 2007-->c:\hp\bin\MSOffice\uninst2.cmd
VLC media player 1.0.5-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: PC-de-vava0201
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : 
i8042prt
Record Number: 62297
Source Name: Service Control Manager
Time Written: 20100306115843.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 11
Message: Le pilote a détecté une erreur du contrôleur sur \Device\Harddisk1\DR1.
Record Number: 62398
Source Name: disk
Time Written: 20100307002619.424251-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 62404
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20100307082137.285000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-vava0201
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 62416
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20100307083732.660156-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : 
i8042prt
Record Number: 62503
Source Name: Service Control Manager
Time Written: 20100307083904.000000-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-de-vava0201
Event Code: 3011
Message: Le déchargement des chaînes de compteurs de performances pour le service WmiApRpl (WmiApRpl) a échoué. Le premier DWORD de la section Data contient le code d'erreur.
Record Number: 4512
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20100306175510.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 4534
Source Name: Microsoft-Windows-WMI
Time Written: 20100307083904.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 3012
Message: Les chaînes de performance dans la valeur de Registre Performance sont endommagées lors du traitement du fournisseur de compteurs d'extension Performance. La valeur BaseIndex à partir du Registre de performance est le premier DWORD dans la section Données, la valeur LastCounter est le deuxième DWORD dans la section Données, et la valeur LastHelp est le troisième DWORD dans la section Données.
Record Number: 4538
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20100307084522.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 3012
Message: Les chaînes de performance dans la valeur de Registre Performance sont endommagées lors du traitement du fournisseur de compteurs d'extension Performance. La valeur BaseIndex à partir du Registre de performance est le premier DWORD dans la section Données, la valeur LastCounter est le deuxième DWORD dans la section Données, et la valeur LastHelp est le troisième DWORD dans la section Données.
Record Number: 4539
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20100307084522.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-vava0201
Event Code: 3011
Message: Le déchargement des chaînes de compteurs de performances pour le service WmiApRpl (WmiApRpl) a échoué. Le premier DWORD de la section Data contient le code d'erreur.
Record Number: 4540
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20100307084522.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-de-vava0201
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\WINDOWS\System32\drivers	cpip.sys	
Record Number: 8112
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100307084343.736756-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-vava0201
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\WINDOWS\System32\drivers	cpip.sys	
Record Number: 8113
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100307084343.845956-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-vava0201
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\WINDOWS\System32\drivers	cpip.sys	
Record Number: 8114
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100307084343.939556-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-vava0201
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\WINDOWS\System32\drivers	cpip.sys	
Record Number: 8115
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100307084344.033156-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-vava0201
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume1\WINDOWS\System32\drivers	cpip.sys	
Record Number: 8116
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100307084344.111156-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python;c:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"OnlineServices"=Online Services
"Platform"=HPD
"PCBRAND"=Pavilion
"MSWorksProductCode"={3B160861-7250-451E-B5EE-8B92BF30A710}
"RGSCLauncher"=C:\Program Files\Rockstar Games\Rockstar Games Social Club
"RGSC"=C:\Program Files\Rockstar Games\Rockstar Games Social Club\1_0_0_0
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip

-----------------EOF-----------------

vava0201 · Answer

dans mes processeurs utiliser j'ai un programme nommé svchost.exe qui utilise 26 % et un autre explorer.exe qui lui en utilise 47 % est ce que c'est des virus ou quoi ?

vava0201 · Answer

j'ai bien un virus sur vista car mon processeur tourne a 100 % alors que quand je démarre mon pc sur seven il tourne a 1 %

verni29 · Answer

vava201, 

Pas très catholique ce genre de chose. ;-)
O4 - HKCU\..\Run: [Stub] "%UserProfile%\Downloads\Crack Cities Xl-Razor1911\Crack Cities Xl-Razor1911\Cities Xl.exe.exe
C'est prendre le risque de se faire infecter.

1/ Ouvre Hijackthis ( tu le trouveras en C:\programmes\TrendMicro\Hijackthis.exe )

Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Stub] "%UserProfile%\Downloads\Crack Cities Xl-Razor1911\Crack Cities Xl-Razor1911\Cities Xl.exe.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O15 - Trusted Zone: http://software.kuaiche.com

Tu choisis l'option " Fixchecked" en bas de la page.

2/ Télécharge  USBFix  ( par Chiquitine29 ) sur ton bureau.

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

A+

vava0201 · Answer

voila le rapport 


############################## | UsbFix V6.098 |

User : vava0201 (Administrateurs) # PC-DE-VAVA0201
Update on 03/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:47:23 | 07/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2180  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 257,38 Go (108,9 Go free) [HP] # NTFS
D:\ -> Disque fixe local # 10,66 Go (1,41 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque fixe local # 10,5 Go (3,32 Go free) [e] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local # 19,55 Go (14,87 Go free) [mac] # NTFS
L:\ -> Disque amovible
M:\ -> Disque fixe local # 298,02 Go (30,97 Mo free) [SWISNIFE] # FAT32
N:\ -> Disque CD-ROM
O:\ -> Disque fixe local # 298,02 Go (33,13 Go free) [STOREX] # FAT32

################## | Elements infectieux |

C:\Users\vava0201\SilkroadOnline_GlobalOfficial_v1_225.exe  
C:\Users\vava0201\AppData\Local\Temp\a.dat  
C:\Users\vava0201\AppData\Local\Temp\Ewp.exe  
M:\autorun.inf  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]  
[HKCU\SOFTWARE\ROUA3O12PW]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\L
shell\AutoRun\command =L:\setupSNK.exe 

HKCU\..\..\Explorer\MountPoints2\{941f736e-0b75-11df-8ba3-001fe201b096}
shell\AutoRun\command =M:\setupSNK.exe 

HKCU\..\..\Explorer\MountPoints2\{fb3c7c4d-0c42-11df-97a2-001fe201b096}
shell\AutoRun\command =N:\autorun.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.098 ! |

verni29 · Answer

Ok, 

1/ On passe au nettoyage sur ces supports.
l'outil va vacciner ces supports pour éviter une future infection.

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur usbfix.exe présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

Le scan dure en moyenne 50 mn.

A+

vava0201 · Answer

Le rapport UsbFix.txt


############################## | UsbFix V6.098 |

User : vava0201 (Administrateurs) # PC-DE-VAVA0201
Update on 03/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:44:06 | 07/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2180  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 257,38 Go (108,84 Go free) [HP] # NTFS
D:\ -> Disque fixe local # 10,66 Go (1,41 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque fixe local # 10,5 Go (3,32 Go free) [e] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local # 19,55 Go (14,87 Go free) [mac] # NTFS
L:\ -> Disque amovible
M:\ -> Disque fixe local # 298,02 Go (30,97 Mo free) [SWISNIFE] # FAT32
N:\ -> Disque CD-ROM
O:\ -> Disque fixe local # 298,02 Go (33,13 Go free) [STOREX] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Users\vava0201\SilkroadOnline_GlobalOfficial_v1_225.exe 
Supprimé ! C:\Users\vava0201\AppData\Local\Temp\a.dat 
Supprimé ! C:\Users\vava0201\AppData\Local\Temp\Ewp.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2742151181-3140834029-1282585099-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-680046070-2772712308-1114619742-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1077673644-3397654598-509278763-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1077673644-3397654598-509278763-1008 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1077673644-3397654598-509278763-1009 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1077673644-3397654598-509278763-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2401641344-2859414902-26917416-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2401641344-2859414902-26917416-501 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2742151181-3140834029-1282585099-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-416757923-1050222761-2399526305-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-680046070-2772712308-1114619742-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-915361826-4289200288-3673786847-1000 
Supprimé ! E:\$Recycle.Bin\S-1-5-21-2742151181-3140834029-1282585099-1000 
Supprimé ! E:\$Recycle.Bin\S-1-5-21-680046070-2772712308-1114619742-1000 
Supprimé ! K:\$Recycle.Bin\S-1-5-21-2742151181-3140834029-1282585099-1000 
Supprimé ! K:\$Recycle.Bin\S-1-5-21-680046070-2772712308-1114619742-1000 
Supprimé ! K:\Recycler\S-1-5-21-1409082233-1284227242-1417001333-500 
Supprimé ! M:\autorun.inf 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\ROUA3O12PW]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\L\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{941f736e-0b75-11df-8ba3-001fe201b096}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{fb3c7c4d-0c42-11df-97a2-001fe201b096}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |







JE NE PAS PAS UN PASSAGE CAR J'AI PLEIN DE NOM DE DOCUMENT PRIVE .









################## | Vaccination  

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# O:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-vava0201.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.098 ! |

vava0201 · Answer

je poste les résultat de MalwareBytes dès que je l'ai ait

verni29 · Answer

vava201, 

Pourras-tu comme indiqué à la fin du rapport d'USBFix envoyé le fichier .zip crée sur ton bureau ?
Merci d'avance.

A+

vava0201 · Answer

j'ai fini avec usbfix mais je n'ai eu aucun fichier .zip qui c'est crée sur mon bureau

verni29 · Answer

Autant pour moi, il se trouve en C:\UsbFix_Upload_Me_PC-de-vava0201.zip
As-tu passé malwarebytes ?

Et le PC ? des améliorations ?

A+

vava0201 · Answer

malwarebytes est en cours donc poue le moment pas d'amélioration

vava0201 · Answer

le rapport 


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3832
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

07/03/2010 21:48:30
mbam-log-2010-03-07 (21-48-30).txt

Type de recherche: Examen complet (C:\|D:\|E:\|K:\|)
Eléments examinés: 420962
Temps écoulé: 3 hour(s), 27 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

vava0201 · Answer

comme indiquer il n'y a ancune infection mais mon ordi tourne toujours a 100% donc le problème vient d'ailleur mais je ne sait pas ou

verni29 · Answer

Oui, cela n'a pas l'air infectieux.
On fera un autre type d'analyse.

Est-ce que tu peux me faire une manip ?
Cela consiste à installer un logiciel ( processexplorer , c'est une sorte de gestionnaires de taches ) et faire une capture d'écran lorsque ce logiciel sera lancé.

1/ télécharge Process Explorer sur ton bureau.
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer?redirectedfrom=MSDN

# Extraire l'archive sur le bureau.
# lance le logiciel.
( Si sous vista :  click droit sur le fichier --> choisir exécuter en tant qu'administrateur )
# appuie sur Imp écran sur ton clavier.

2/ Ouvre Paint ( tous les programmes --> accessoires ) 
# Edition  --> Coller pour obtenir la copie d'écran.
# enregistre le fichier sur ton bureau.

3/ Va sur le site https://imageshack.com/ pour y déposer le fichier.
Indique moi ensuite le lien crée.

A+

vava0201 · Answer

http://img246.imageshack.us/img246/8926/sanstitreyx.jpg

verni29 · Answer

Merci vava201 pour la manip.

Il y a semble-t-il un processus qui se lance sous explorer.exe et qui prend pas mal de ressources 

Télécharge DiagHelp sur ton bureau
http://www.malekal.com/download/DiagHelp.zip

#Fais un clic droit sur le fichier et extraire tout 
- Un dossier va être créé DiagHelp 
- Ouvre le et double-clic sur go.cmd
- choisis l'option 1 
- L'analyse va commencer, ceci peut durer quelques minutes, suis les invites.
- après le rapport catchme, il est demandé d'appuyer sur une touche pour poursuivre le scan.

Tu suis les invites. 

Un rapport va apparaître. Ce dernier se trouve à C:\resultat.txt 

Copie/colle le contenu du rapport dans le prochain message.

A+

vava0201 · Answer

je lance le logicielle go.cmd il me mai une fenêtre la je met 1 et ensuite entré après il me dit d'appuyer sur une touche pour lancer le scan donc j'appuie sur une touche et la il me dit un message d'erreur http://img517.imageshack.us/img517/5290/sanstitresz.jpg

verni29 · Answer

vava201, 

Vu que tu as Vista, 

Fais un click droit sur go.cmd et choisis exécuter en tant qu'administrateur.
On verra si cela marche.

A+

vava0201 · Answer

la il me dit autre chose http://img40.imageshack.us/img40/6906/sanstitrerm.jpg alors que j'ai bien extrait

verni29 · Answer

Bon, 

Je viens de l'essayer sous Seven et pas de problème.
On essaye une dernière fois.

Supprime le dossier de Diaghelp.

Retélécharge-le :
http://www.malekal.com/download/DiagHelp.zip

Fais attention à bien extraire diaghelp sur ton bureau.
Et lance-le avec le click droit et Exécuter ....

A+

vava0201 · Answer

moi aussi il marche sur seven je viens d'essayer mais sur vista sa ne change rien toujours le même problème

verni29 · Answer

Bon, 

Pour les fichiers détectés par A2, as-tu le rapport ?
BitDefender te donne-t-il des alertes.

On va tout de même faire une ou deux vérifiactions avec d'autres outils.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
Si sous Vista --> Click droit et ......

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

vava0201 · Answer

BitDefender ne me donne pas d'alerte et si j'ai eu un rapport de a2 je ne sais pas ou il est. Est ce que je suis obligé de désactivé BitDefender pour utilisé ComBoFix car si j'ai un virus je pense que c'est pas top de ne pas avoir d'anti virus

verni29 · Answer

Ce n'est que durant l'analyse qui va durer une dizaine de minutes.

vava0201 · Answer

ComboFix 10-03-08.01 - vava0201 08/03/2010  20:12:32.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3069.1881 [GMT 1:00]
Lancé depuis: c:\users\vava0201\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))




JE MAIS PAS TOUTE LA LISTE DES PROGRAMME SA PRENDRAIT TROIS PAGES 




**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-08 20:23
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2742151181-3140834029-1282585099-1000\Software\SecuROM\License information*]
"datasecu"=hex:80,73,21,22,d3,26,a7,64,d6,ab,16,bf,17,d8,64,ee,22,ab,5a,0b,b4,
   e6,a5,13,fa,78,4e,4b,7b,c8,c8,51,c4,5d,0c,ed,25,c7,e6,d3,52,be,fa,7b,d6,a5,\
"rkeysecu"=hex:59,2f,6d,22,a5,67,b0,db,38,b8,e0,20,25,f8,4b,9b

[HKEY_USERS\S-1-5-21-2742151181-3140834029-1282585099-1000_Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
@Allowed: (Read) (RestrictedCode)
"scansk"=hex(0):89,a6,f8,d6,16,ab,fb,79,9a,2f,e1,6d,3a,1e,7f,3c,3c,34,62,8d,a5,
   1c,f0,ec,73,dc,17,af,1c,15,c2,67,54,d0,1c,62,2b,3d,b0,5d,00,00,00,00,00,00,\

[HKEY_USERS\S-1-5-21-2742151181-3140834029-1282585099-1000_Classes\CLSID\{70ced4df-2a9e-495c-b6a9-c3c5410ef1f7}]
@Denied: (Full) (Everyone)
@Allowed: (Read) (RestrictedCode)
"Model"=dword:0000003a
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,6e,8f,de,2c,50,27,a5,01,2e,4d,91,eb,9e,ca,8f,8d,89,f8,43,70,0d,d2,\
.
Heure de fin: 2010-03-08  20:25:14
ComboFix-quarantined-files.txt  2010-03-08 19:25

Avant-CF: 115 597 828 096 octets libres
Après-CF: 116 170 887 168 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=3 Sets=1,2,3,5

verni29 · Answer

Oui, j'ai besoin de lire le rapport en entier.
Le plus simple est d'utiliser le site http://www.ci-joint.fr, d'y déposer le fichier C:\Combofix.txt

Indique moi le lien crée.

A+

vava0201 · Answer

A ba apatament sa ne sert plus a rien mon pc retourne normalement. Merci d'avoir répondu si vite et d'avoir pris du temps pour m'aider

verni29 · Answer

vava201, je t'envoie un MP sur la messagerie de CCM.

@+

vava0201 · Answer

comme on peut le constater le fichier explorer.exe ne puisse plus au temps de puissance http://img130.imageshack.us/img130/9717/sanstitrevpq.jpg

verni29 · Answer

Oui, 

Combofix a supprimé des fichiers et j'aurais aimé savoir lesquels.
Tu peux poster le rapport ComboFix par MP ou sur le forum.

@+

vava0201 · Answer

désoler de rouvrir le poste mais j'ai de nouveau un trojan j'ai fait une analyse avec bitdefender il a trouver trois virus donc 2 trojan mais il y en a un qu'il n'arrive pas a supprimer peut tu m'aider s'il te plait

vava0201 · Answer

bitdefender est t'il fiable car si j'ai tout le temps des virus c'est qu'il ne doit pas être super

Supprimer trojan

37 réponses

Discussions similaires

Newsletters