Très gros problème, ordinateur infecté Résolu

Question

Bonjour,
cela fait maintenant deux jours que j'ai un gros problème. En effet, je reçois environ 10 alertes d'un coup de mon Anti virus (Avira AntiVir) me disant que mon ordinateur est infecté. Par ailleurs, j'ai également des alertes venant de Antivirus Vista me disant que j'ai X fichiers infectés mais que ma session a expiré ... Je ne savais même pas que j'avais cet antivirus mais je pense qu'il était inclu avec mon ordinateur que j'ai eu il y a à peu près un mois.
Voilà une capture d'écran pour vous montrer à peu près comment est mon bureau : 

J4ai beau supprimer, refuser l'accès, mettre en quarantaine. Rien n'y fait le virus revient !

J'ai vraiment besoin d'aide, je ne peux plus utiliser mon ordinateur correctement & j'en ai vraiment besoin.
Si vous pouviez m'aider ce serait vraiment sympathique de votre part.
Merci !

Utilisateur anonyme · Accepted Answer

Bonjour Antivirus Vista ces un rogue un faux logiciel de sécurité qui a pour but de te faire payer son produit 

il te signale de fausse infection alors que ces lui le virus

il n'est donc pas intégrer a ton PC quand on te la vendue 

Télécharge rkill

Enregistre-le sur ton Bureau

https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe

Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:

https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr

Rkill PIF: Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.pif


une fois qu'il aura terminé

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

PUIS

Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )

Safius · Answer

J'ai oublié la capture d'écran : http://www.hostingpics.net/viewer.php?id=508498virus.jpg

Safius · Answer

Merci beaucoup pour ta réponse.
Mais lorsque je veux faire la mise à jour dans Malwarebyte, tout se bloque, j'ai essayé 5 ou 6 fois rien à faire. Je passe à la suite ?

Utilisateur anonyme · Answer

tu a bien fais RKILL avant ? sinon fais le sans le mettre a jour

Safius · Answer

Est-ce normal qu'après 4h40 d'analyse ce ne soit toujours pas terminé ? :s

Utilisateur anonyme · Answer

oui sa peu arriver

ces souvent par ce que ton PC est très lents

évite de toucher ton PC pendant l'analyse sa diminuas le temps 

il a marqué si il y a des objet infecter ? si oui combien ?

PS fabul pourquoi tu viens intervenir sur ce topic que j'ai commencer ces a moi de le terminer

Safius · Answer

Oui depuis environ 2 heures le nombre de fichiers infectés n'a pas changé, il y en a 23 !
J'vais laisser mon PC pour qu'il aille plus vite, j'avais pas le choix je devais l'utiliser, mais maintenant c'est bon :)

Safius · Answer

Au bout de 6 heures j'ai toujours autant de fichiers infectés qu'au début. Ca vaut vraiment le coup de continuer ? Parce que ça commence vraiment à être long là :s

Utilisateur anonyme · Answer

oui laisse le tourner ces important 

fais le cette nuits si tu peux

 sa dérangeras pas ?

Safius · Answer

Je l'ai laissé tournée toute la nuit comme tu m'avais commencé. Donc toute contente le matin, j'ai suivi tes instructions sauf qu'au moment de supprimer les résultats et que le logiciel a presque terminé tout se bloque. Ca s'arrête à ce niveau : http://www.hostingpics.net/viewer.php?id=182540capture2.jpg
J'ai donc été obligé de quitter & j'ai vu qu'il n'y avait aucun rapport enregistré ... J'ai donc recommencé la recherche ce matin, & je viens de rentrer, & ça me l'a fait une deuxième fois ! Ca s'est arrêté EXACTEMENT au même endroit !
Je sais plus quoi faire, toujours pas de rapport enregistré mais par contre j'ai une liste de fichiers enregistrés en quarantaine...

fabul · Answer

Salut,

N'en déplaise a lamer01,essaie VundoFix Par Atribune

fabul · Answer

.

Bug total! · Answer

.

Vundofix · Answer

VundoFix Par Atribune

Utilisateur anonyme · Answer

tu a spybot ? si oui désactive le    

pour le scan de malwarebyts  laisse tomber   

fais un rsit comme demandé  

puis  

Utilisateurs de Vista et 7  /!\  

Désactivez le contrôle des comptes utilisateurs avant l'utilisation de ces outil:  

* Allez dans "Démarrer" puis Panneau de configuration.  
* Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".  
* Décochez la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.  
* Validez par OK et redémarrez .  
* Aide en image: http://pagesperso-orange.fr/NosTools/uac_vista.html  

Ton PC est infecté par l'adware Navipromo/Magic Control qui affiche des publicités intempestives.
Il s'installe via certains programmes, dont voici la liste :

* Funky Emoticons
* Games Attack
* Go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Sudoplanet
* SuperSexPlayer
* Official Emule (Version d'Emule modifiée)
* Webmediaplayer
* Sur le site hxxp://www.games-desktop.com (!Ne pas aller dessus!)

Navilog 1 :  

 Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le Bureau.  

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe  

Double-clique sur Navilog1.exe.  


Appuie sur F puis valide par Entrée.  
Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options.  
 Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix.  
Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.  
Patiente jusqu'au message : "" Scan terminé le ..... ""  
Le rapport apparaît, poste-le dans ta prochaine réponse.  

A noter : Le rapport se trouve également ici : C:\cleannavi.txt  

========================================  

UsbFix  

Option 1 : recherche  

Télécharge UsbFix de Chimay8 & C_XX & El Desaparecido  
 Tutoriel de Recherche  

 Lance l'installation avec les paramètres par défaut  
 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir  
Double clique sur le raccourci UsbFix sur ton bureau  
 Choisis l'option 1 (recherche)  
 Laisse travailler l'outil  
 Ensuite poste le rapport UsbFix.txt qui apparaîtra  

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque  

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Safius · Answer

Voilà les deux rapports du rsit : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijMO0R2qa.txt
 http://www.cijoint.fr/cjlink.php?file=cj201003/cijGjJMWV8.txt

Je passe à la suite.

Safius · Answer

Après avoir téléchargé Navilog, je lance le scan, il me demande de redémarrer et quand il redémarre il s'arrête là : FINDSTR : impossible d'ouvrir sdra64.exe
J'ai réeassayé & il me redit la même chose ...
Je passe à la suite ?

Safius · Answer

Il n' y a plus personne qui pourrait m'aider ? :s

Utilisateur anonyme · Answer

désactive le contrôle d'administrateur puis refais la procédure

Safius · Answer

Oui je l'avais déjà fais. J'ai recommencé & il s'arrête toujours pour me dire "impossible d'ouvrir...'

Utilisateur anonyme · Answer

Fais sa Télécharge rkill
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com

une fois qu'il aura terminé

fais la procédure demandé

Safius · Answer

Toujours la même chose ...
C'est pas possible de simplement télécharger un antivirus plus performant que Avira pour supprimer l'antivirus ?

69bilal · Answer

si tu a le nom du ficher infecter et ke tu sai ou il se trouve tu renomme le ficher et tu pe la normalemen le supprimer exemple : le fiche infecté s'appelle bluecon.exe tu le renomme bluecon.txt tu ouvre le ficher txt tu efface ce ki li ia a l'intérieur pui tu ecrit cke tu ve pour remplacer ckil iavé déja décri apré t'enregistre et t'éffface le ficher et tu vide la corbeille

Utilisateur anonyme · Answer

69bilal 

tu pollue mon sujet est en plus 

Les Bénévoles ne répondant pas au langage sms, et aux majuscules, je vous serai bien aimable de re-écrire votre « texte » en langage lisible qui est le Français puisque nous sommes sur un site francophone.. 

Dans l'attente d'une réponse favorable de votre part, vous aurez en retour des réponses favorables à votre question. 

Tu es sur un forum, pas sur un portable 

Merci de respecter la Charte 

http://www.commentcamarche.net/ccmguide/ccmcharte-ecriture.p­hp3#ecriture 
Il est également demandé aux utilisateurs de s'appliquer 
lors de la rédaction de leur message en évitant au possible 
les abréviations (type SMS) et en vérifiant l'orthographe. 
Un message rédigé en langage abrégé ou difficile à lire compte 
tenu du nombre de fautes d'orthographe, un message rédigé en Majuscule ; 
les messages rédigés dans une autre langue que le français, ceux comportant des fautes de langage manifestement volontaires et nombreuses sont susceptibles 
d'être supprimés afin de garantir une qualité de 
lecture des échanges. 
. 


Pourriez-vous, s'il vous plait, reformuler votre problème avec des phrases complètes; bonjour et merci sont aussi des mots bien appréciés ici, puisque notre seul salaire. 
http://www.technicland.com/malpolitus.swf 
http://img139.imageshack.us/img139/8973/notdistrimq9.jpg 
http://users.elite.net/runner/jennifers/hello.htm#E 
http://nsa07.casimages.com/img/2009/08/16/090816113950717497­.jpg

Safius · Answer

& sinon pas de solution à mon problème ? :s

Utilisateur anonyme · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ? Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur _______________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ====================================================== ? On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ? n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ? copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Safius · Answer

Par contre au redémarrage j'ai toujours les alertes d'Avira me disant que j'ai un cheval de Troie & quoi que je fasse les alertes reviennent toujours. Voilà le rapport de combofix : ComboFix 10-03-20.01 - Safia 20/03/2010 22:20:11.1.2 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2940.1704 [GMT 1:00] Lancé depuis: c:\users\Safia\Downloads\Safius.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-3401549029-2948500744-760845060-500 c:\program files\Adobe\acrotray .exe c:\program files\Internet Explorer\js.mui c:\users\Safia\AppData\Local\av.exe c:\users\Safia\AppData\Local\ave.exe c:\users\Safia\AppData\Local\Microsoft\Windows\Temporary Internet Files\AX1ba.jpg c:\users\Safia\AppData\Local\Microsoft\Windows\Temporary Internet Files\B4xjXXa78.jpg c:\users\Safia\AppData\Local\Microsoft\Windows\Temporary Internet Files\BAY1m7maa.jpg c:\users\Safia\AppData\Local\Microsoft\Windows\Temporary Internet Files\xna65KpM.jpg c:\users\Safia\AppData\Local\prsnoq.dat c:\users\Safia\AppData\Local\prsnoq.exe c:\users\Safia\AppData\Local\prsnoq_nav.dat c:\users\Safia\AppData\Local\prsnoq_navps.dat c:\users\Safia\AppData\Local\qeqeqmw.dat c:\users\Safia\AppData\Local\qeqeqmw_nav.dat c:\users\Safia\AppData\Local\qeqeqmw_navps.dat c:\users\Safia\AppData\Roaming\sdra64 .exe c:\windows\ctfmon .exe c:\windows\ctfmon.exe c:\windows\lsass .exe c:\windows\lsass.exe c:\windows\odbnsy .exe c:\windows\odbnsy.exe c:\windows\servicelayer .exe c:\windows\servicelayer.exe c:\windows\svc .exe c:\windows\svc.exe c:\windows\svw .exe c:\windows\svw.exe c:\windows\svx .exe c:\windows\svx.exe c:\windows\system32\Connect.dll c:\windows\system32\drivers ups.sys c:\windows\system32\lowsec c:\windows\system32\lowsec\local.ds c:\windows\system32\lowsec\user.ds c:\windows\system32\pl4p824c.dll c:\windows\system32\sdra64.exe c:\windows\system32\sshnas21.dll c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job c:\windows mp2545204.log c:\windows mp2652557.log c:\windows mp4912174.log c:\windows mp5883258.log c:\windows mp6323347.log c:\windows mp8219886.log c:\windows mp9808091.log Une copie infectée de c:\windows\system32\drivers\AGP440.sys a été trouvée et désinfectée Copie restaurée à partir de - c:\windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NUPS -------\Service_Nups ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-20 au 2010-03-20 )))))))))))))))))))))))))))))))))))) . 2010-03-20 21:27 . 2010-03-20 21:27 -------- d-----w- c:\users\Default\AppData\Local emp 2010-03-18 20:08 . 2010-03-20 17:19 -------- d---a-w- C:\Navilog1 2010-03-18 20:08 . 2010-03-20 17:09 -------- d-----w- c:\program files avilog1 2010-03-18 19:11 . 2010-03-18 19:13 -------- d-----w- C: sit 2010-03-18 19:11 . 2010-03-18 19:12 -------- d-----w- c:\program files rend micro 2010-03-18 17:33 . 2010-03-18 17:33 -------- d-----w- c:\programdata\WindowsSearch 2010-03-17 13:22 . 2010-03-17 13:22 -------- d-----w- c:\users\Safia\AppData\Roaming\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-17 13:21 . 2010-03-17 13:21 -------- d-----w- c:\programdata\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-17 13:21 . 2010-03-17 13:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-03-16 10:58 . 2010-03-16 17:51 -------- d-sh--w- c:\users\Safia\AppData\Roaming\lowsec 2010-03-15 19:36 . 2010-03-15 19:36 -------- d-----w- c:\windows\Sun 2010-03-15 18:23 . 2010-03-15 18:23 154624 ----a-w- c:\windows\vzubaa.exe 2010-03-12 08:58 . 2010-02-20 23:39 24064 ----a-w- c:\windows\system32 shhttp.dll 2010-03-12 08:58 . 2010-02-20 21:18 411136 ----a-w- c:\windows\system32\drivers\http.sys 2010-03-12 08:58 . 2010-02-20 23:37 31232 ----a-w- c:\windows\system32\httpapi.dll 2010-03-11 17:49 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll 2010-03-09 11:23 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll 2010-03-09 11:23 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll 2010-03-09 09:19 . 2010-02-12 10:48 293376 ----a-w- c:\windows\system32\browserchoice.exe 2010-03-06 17:09 . 2009-12-08 20:52 3597912 ----a-w- c:\windows\system32 tkrnlpa.exe 2010-03-06 17:09 . 2009-12-08 20:52 3546200 ----a-w- c:\windows\system32 toskrnl.exe 2010-02-25 10:55 . 2010-02-25 10:55 -------- d-----w- c:\programdata\HPSSUPPLY 2010-02-23 18:24 . 2010-01-23 09:44 2048 ----a-w- c:\windows\system32 zres.dll 2010-02-23 18:24 . 2010-01-25 08:35 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-02-23 18:24 . 2010-01-25 08:34 511488 ----a-w- c:\windows\system32\RMActivate.exe 2010-02-23 18:24 . 2010-01-25 12:48 472576 ----a-w- c:\windows\system32\secproc_isv.dll 2010-02-23 18:24 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-02-23 18:24 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-02-23 18:24 . 2010-01-25 12:48 472064 ----a-w- c:\windows\system32\secproc.dll 2010-02-23 18:24 . 2010-01-25 12:45 329216 ----a-w- c:\windows\system32\msdrm.dll 2010-02-23 18:24 . 2010-01-25 08:35 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-02-23 18:24 . 2010-01-25 08:34 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-20 21:13 . 2008-08-27 06:55 669328 ----a-w- c:\windows\system32\perfh00C.dat 2010-03-20 21:13 . 2008-08-27 06:55 123350 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-20 18:07 . 2009-02-05 19:05 1 ----a-w- c:\users\Safia\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-18 19:21 . 2009-11-01 12:18 -------- d-----w- c:\program files\iTunes 2010-03-17 14:03 . 2009-11-01 12:16 -------- d-----w- c:\program files\QuickTime 2010-03-12 09:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-03-12 09:01 . 2009-02-05 18:45 -------- d-----w- c:\programdata\Microsoft Help 2010-03-09 21:19 . 2010-03-09 21:19 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-03-07 10:21 . 2008-08-26 21:54 588472 ----a-w- c:\windows\system32\ezsvc7x.dll 2010-02-24 12:18 . 2009-02-01 14:17 84552 ----a-w- c:\users\Safia\AppData\Local\GDIPFONTCACHEV1.DAT 2010-02-24 08:16 . 2009-10-02 16:56 181632 ------w- c:\windows\system32\MpSigStub.exe 2009-12-28 12:35 . 2010-02-13 14:00 11776 ----a-w- c:\windows\system32 sbyuv.dll 2009-12-28 12:35 . 2010-02-13 14:00 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-28 12:32 . 2010-02-13 14:00 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-28 12:32 . 2010-02-13 14:00 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-28 12:32 . 2010-02-13 14:00 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-28 12:32 . 2010-02-13 14:00 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-28 12:31 . 2010-02-13 14:00 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-28 12:31 . 2010-02-13 14:00 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-28 12:28 . 2010-02-13 14:00 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-28 12:28 . 2010-02-13 14:00 65024 ----a-w- c:\windows\system32\avicap32.dll 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll 2008-08-27 07:10 . 2008-08-27 07:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT . [code]

c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy .exe
c:\program files\Adobe\Reader 8.0\Reader
eader_sl .exe
c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe
c:\program files\HP\Digital Imaging\bin\hpqsrmon .exe
c:\program files\HP\HP Software Update\hpwuschd2 .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre1.6.0_07\bin\jusched .exe
c:\program files\QuickTime\qttask    .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Windows Live\Messenger\msnmsgr    .exe
c:\program files\Windows Live\Messenger\msnmsgr   .exe
c:\program files\Windows Live\Messenger\msnmsgr  .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [N/A] "msnmsgr"="c:\program files\windows live\messenger\msnmsgr .exe" [2009-07-26 3883856] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-04-16 24264488] "prsnoq"="c:\users\safia\appdata\local\prsnoq.exe" [N/A] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "Remote System Protection"="c:\windows\system32\pl4p824c.dll" [N/A] "WEK9EMDHI9"="c:\windows\Vzubaa.exe" [2010-03-15 154624] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\program files\QuickTime\qttask .exe -atboottime" [X] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [N/A] "KBD"="c:\hp\KBD\KbdStub.EXE" [2010-03-17 40448] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13539872] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 92704] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2010-03-17 40448] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2010-03-17 40448] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-03-17 40448] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-03-17 40448] "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2010-03-17 40448] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2010-03-17 40448] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [N/A] "odnexy"="c:\windows\odbnsy.exe" [N/A] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Remote System Protection"="c:\windows\system32\pl4p824c.dll" [N/A] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544] c:\users\Safia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232] R3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS etr73.sys [2008-02-26 493568] S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-17 108289] S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504] --- Autres Services/Pilotes en mémoire --- *Deregistered* - nfrht [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . Contenu du dossier 'Tâches planifiées' 2010-03-20 c:\windows\Tasks\User_Feed_Synchronization-{1455DC82-9BD2-41F9-97CD-BAE51E24FB9D}.job - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt uInternet Settings,ProxyOverride = *.local IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar esources\fr-FR\local\search.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Safia\AppData\Roaming\Mozilla\Firefox\Profiles a8b2v9s.default\ FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\program files\ma-config.com phardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - ORPHELINS SUPPRIMES - - - - AddRemove-Web-Mediaplayer - c:\program files\WebMediaPlayer\uninst.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-20 22:32 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services frht] . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32 vvsvc.exe c:\windows\system32 undll32.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\windows\system32\conime.exe c:\windows\system32\WUDFHost.exe c:\windows\System32 undll32.exe c:\windows\System32 undll32.exe c:\program files\OpenOffice.org 3\program\soffice.exe c:\windows\ehome\ehmsas.exe c:\program files\OpenOffice.org 3\program\soffice.bin c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe c:\program files\HP\Digital Imaging\bin\hpqbam08.exe c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe c:\program files\Internet Explorer\iexplore.exe c:\program files\aol\aol toolbar 5.0\AolTbServer.exe . ************************************************************************** . Heure de fin: 2010-03-20 22:39:04 - La machine a redémarré ComboFix-quarantined-files.txt 2010-03-20 21:38 Avant-CF: 239 285 891 072 octets libres Après-CF: 241 216 393 216 octets libres - - End Of File - - 6D2012522A8C1A8212159FA2469FC8BC

Safius · Answer

Au démarrage j'ai deux nouvelles alertes : 
- http://www.hostingpics.net/viewer.php?id=732925Defender.jpg
- http://www.hostingpics.net/viewer.php?id=350435RunDLL.jpg

Est-ce que pour la première je clique sur tout supprimer ?

Jean-Luc · Answer

Bonjour à tous
J'ai gagné le gros lot. J'ai probablement été l'un des premiers à choper la panoplie complète du terrible nouveau virus qui se répand comme une traînée de poudre sur Facebook, via des fichiers YouTube qui se sont installés tout seul sur ma page.
 
Mon antivirus (BitDefender) réussissait à bloquer, toutes les 10 minutes environ, les Worm, Trojan, et Malware offerts par Facebook.
Mais j'ai du trouver et effacer moi-même la racine du mal. Il s'agissait d'un programme qui tournait en « tâche de fond » dans le répertoire Windows Vista. 
Sur mon PC, ce programme comportait le nom de Bill. (Mais le nom de ce programme pourrait être mutant !)
Mais il me reste un problème non résolu. Cet intelligent virus a installé une sorte de filtre qui me bloque l'accès à TOUS les sites d'antivirus du monde. (Impossible pour moi de lancer la mise à jour de mon antivirus. Impossible de me connecter aux sites de Microsoft. Impossible de télécharger le moindre outil gratuit ou payant de nettoyage.- Message I.E : page introuvable, reconnecter le modem !)
L'un d'entre vous pourrait t'il me dire ou se cache ce « filtre » ?
Merci d'avance. Jean-Luc

Utilisateur anonyme · Answer

jean luc crée un nouveau sujet SVP

Safius · Answer

Lamer01 tu n'as pas trouvé de solution à mon problème ?

Utilisateur anonyme · Answer

re

comment va  ton PC ?

sKe69 · Answer

Salut Safius,


pour avancer quelques peu la chose , fait exactement ce qui suit :




1- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"prsnoq"=-
"Remote System Protection"=-
"WEK9EMDHI9"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"odnexy"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Remote System Protection"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services
frht]

File:: 
c:\windows\vzubaa.exe
c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy .exe   
c:\program files\Adobe\Reader 8.0\Readereader_sl .exe
c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe
c:\program files\HP\Digital Imaging\bin\hpqsrmon .exe
c:\program files\HP\HP Software Update\hpwuschd2 .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre1.6.0_07\bin\jusched .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\users\safia\appdata\local\prsnoq.exe
c:\users\Safia\AppData\Local\prsnoq.dat
c:\users\Safia\AppData\Local\prsnoq_nav.dat
c:\users\Safia\AppData\Local\prsnoq_navps.dat
c:\windows\system32\pl4p824c.dll
c:\windows\odbnsy.exe

Folder:: 
c:\users\Safia\AppData\Roaming\lowsec       

Driver:: 
nfrht

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Safius · Answer

Ske69 voilà mon rapport : ComboFix 10-03-23.04 - Safia 24/03/2010 17:36:17.2.2 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2940.1919 [GMT 1:00] Lancé depuis: c:\users\Safia\Downloads\Safius.exe Commutateurs utilisés :: c:\users\Safia\Desktop\CFScript.txt SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} FILE :: "c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy .exe" "c:\program files\Adobe\Reader 8.0\Reader eader_sl .exe" "c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe" "c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe" "c:\program files\HP\Digital Imaging\bin\hpqsrmon .exe" "c:\program files\HP\HP Software Update\hpwuschd2 .exe" "c:\program files\iTunes\ituneshelper .exe" "c:\program files\Java\jre1.6.0_07\bin\jusched .exe" "c:\program files\QuickTime\qttask .exe" "c:\program files\Windows Live\Messenger\msnmsgr .exe" "c:\users\Safia\AppData\Local\prsnoq.dat" "c:\users\safia\appdata\local\prsnoq.exe" "c:\users\Safia\AppData\Local\prsnoq_nav.dat" "c:\users\Safia\AppData\Local\prsnoq_navps.dat" "c:\windows\odbnsy.exe" "c:\windows\system32\pl4p824c.dll" "c:\windows\vzubaa.exe" . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy .exe c:\program files\Adobe\Reader 8.0\Reader eader_sl .exe c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe c:\program files\HP\Digital Imaging\bin\hpqsrmon .exe c:\program files\HP\HP Software Update\hpwuschd2 .exe c:\program files\iTunes\ituneshelper .exe c:\program files\Java\jre1.6.0_07\bin\jusched .exe c:\program files\QuickTime\qttask .exe c:\program files\Windows Live\Messenger\msnmsgr .exe c:\users\Safia\AppData\Roaming\lowsec c:\users\Safia\AppData\Roaming\lowsec\local.ds c:\users\Safia\AppData\Roaming\lowsec\user.ds . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NFRHT -------\Service_nfrht ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-24 au 2010-03-24 )))))))))))))))))))))))))))))))))))) . 2010-03-24 16:42 . 2010-03-24 16:42 -------- d-----w- c:\users\Public\AppData\Local emp 2010-03-24 16:42 . 2010-03-24 16:42 -------- d-----w- c:\users\Default\AppData\Local emp 2010-03-20 21:17 . 2010-03-20 21:39 -------- d-----w- C:\Safius 2010-03-18 20:08 . 2010-03-20 17:19 -------- d---a-w- C:\Navilog1 2010-03-18 20:08 . 2010-03-20 17:09 -------- d-----w- c:\program files avilog1 2010-03-18 19:11 . 2010-03-18 19:13 -------- d-----w- C: sit 2010-03-18 19:11 . 2010-03-18 19:12 -------- d-----w- c:\program files rend micro 2010-03-18 17:33 . 2010-03-18 17:33 -------- d-----w- c:\programdata\WindowsSearch 2010-03-17 13:22 . 2010-03-17 13:22 -------- d-----w- c:\users\Safia\AppData\Roaming\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-17 13:21 . 2010-03-17 13:21 -------- d-----w- c:\programdata\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-17 13:21 . 2010-03-17 13:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-03-15 19:38 . 2010-03-24 16:42 823296 ----a-w- c:\windows\system32\drivers frht.sys 2010-03-15 19:36 . 2010-03-15 19:36 -------- d-----w- c:\windows\Sun 2010-03-12 08:58 . 2010-02-20 23:39 24064 ----a-w- c:\windows\system32 shhttp.dll 2010-03-12 08:58 . 2010-02-20 21:18 411136 ----a-w- c:\windows\system32\drivers\http.sys 2010-03-12 08:58 . 2010-02-20 23:37 31232 ----a-w- c:\windows\system32\httpapi.dll 2010-03-11 17:49 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll 2010-03-09 11:23 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll 2010-03-09 11:23 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll 2010-03-09 09:19 . 2010-02-12 10:48 293376 ----a-w- c:\windows\system32\browserchoice.exe 2010-03-06 17:09 . 2009-12-08 20:52 3597912 ----a-w- c:\windows\system32 tkrnlpa.exe 2010-03-06 17:09 . 2009-12-08 20:52 3546200 ----a-w- c:\windows\system32 toskrnl.exe 2010-02-25 10:55 . 2010-02-25 10:55 -------- d-----w- c:\programdata\HPSSUPPLY 2010-02-23 18:24 . 2010-01-23 09:44 2048 ----a-w- c:\windows\system32 zres.dll 2010-02-23 18:24 . 2010-01-25 08:35 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-02-23 18:24 . 2010-01-25 08:34 511488 ----a-w- c:\windows\system32\RMActivate.exe 2010-02-23 18:24 . 2010-01-25 12:48 472576 ----a-w- c:\windows\system32\secproc_isv.dll 2010-02-23 18:24 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-02-23 18:24 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-02-23 18:24 . 2010-01-25 12:48 472064 ----a-w- c:\windows\system32\secproc.dll 2010-02-23 18:24 . 2010-01-25 12:45 329216 ----a-w- c:\windows\system32\msdrm.dll 2010-02-23 18:24 . 2010-01-25 08:35 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-02-23 18:24 . 2010-01-25 08:34 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-24 16:41 . 2009-11-01 12:16 -------- d-----w- c:\program files\QuickTime 2010-03-24 16:41 . 2009-11-01 12:18 -------- d-----w- c:\program files\iTunes 2010-03-24 16:23 . 2008-08-27 06:55 669328 ----a-w- c:\windows\system32\perfh00C.dat 2010-03-24 16:23 . 2008-08-27 06:55 123350 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-21 15:27 . 2008-08-26 21:54 -------- d-----w- c:\program files\EasyBits For Kids 2010-03-20 18:07 . 2009-02-05 19:05 1 ----a-w- c:\users\Safia\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-12 09:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-03-12 09:01 . 2009-02-05 18:45 -------- d-----w- c:\programdata\Microsoft Help 2010-03-09 21:19 . 2010-03-09 21:19 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-03-07 10:21 . 2008-08-26 21:54 588472 ----a-w- c:\windows\system32\ezsvc7x.dll 2010-02-24 12:18 . 2009-02-01 14:17 84552 ----a-w- c:\users\Safia\AppData\Local\GDIPFONTCACHEV1.DAT 2010-02-24 09:16 . 2009-10-02 16:56 181632 ------w- c:\windows\system32\MpSigStub.exe 2009-12-28 12:35 . 2010-02-13 14:00 11776 ----a-w- c:\windows\system32 sbyuv.dll 2009-12-28 12:35 . 2010-02-13 14:00 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-28 12:32 . 2010-02-13 14:00 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-28 12:32 . 2010-02-13 14:00 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-28 12:32 . 2010-02-13 14:00 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-28 12:32 . 2010-02-13 14:00 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-28 12:31 . 2010-02-13 14:00 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-28 12:31 . 2010-02-13 14:00 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-28 12:28 . 2010-02-13 14:00 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-28 12:28 . 2010-02-13 14:00 65024 ----a-w- c:\windows\system32\avicap32.dll 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll 2008-08-27 07:10 . 2008-08-27 07:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT . [code]

c:\program files\QuickTime\qttask    .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\Windows Live\Messenger\msnmsgr    .exe
c:\program files\Windows Live\Messenger\msnmsgr  .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-07-03 972080] "msnmsgr"="c:\program files\windows live\messenger\msnmsgr .exe" [2009-07-26 3883856] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-04-16 24264488] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536] "KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13539872] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 92704] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2010-03-17 40448] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [N/A] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [N/A] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2010-03-17 40448] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [N/A] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544] c:\users\Safia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232] S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-17 108289] S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504] S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS etr73.sys [2008-02-26 493568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . Contenu du dossier 'Tâches planifiées' 2010-03-24 c:\windows\Tasks\User_Feed_Synchronization-{1455DC82-9BD2-41F9-97CD-BAE51E24FB9D}.job - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt uInternet Settings,ProxyOverride = *.local IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar esources\fr-FR\local\search.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Safia\AppData\Roaming\Mozilla\Firefox\Profiles a8b2v9s.default\ FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\program files\ma-config.com phardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-24 17:47 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32 vvsvc.exe c:\windows\system32 undll32.exe c:\windows\system32\conime.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\windows\System32 undll32.exe c:\program files\OpenOffice.org 3\program\soffice.exe c:\program files\OpenOffice.org 3\program\soffice.bin c:\windows\ehome\ehmsas.exe c:\windows\system32\WUDFHost.exe c:\program files\Windows Media Player\wmplayer.exe c:\windows\system32\msiexec.exe c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe . ************************************************************************** . Heure de fin: 2010-03-24 17:53:16 - La machine a redémarré ComboFix-quarantined-files.txt 2010-03-24 16:53 ComboFix2.txt 2010-03-20 21:39 Avant-CF: 241 294 835 712 octets libres Après-CF: 241 223 921 664 octets libres - - End Of File - - 95ACD3388C93C6BE8F686E8967C43065

sKe69 · Answer

re,



1- recommence la manipe de Combofix en utilsant ce CFScritp :


File::
c:\program files\QuickTime\qttask .exe 
c:\program files\QuickTime\qttask .exe 
c:\program files\QuickTime\qttask .exe 
c:\program files\Windows Live\Messenger\msnmsgr .exe 
c:\program files\Windows Live\Messenger\msnmsgr .exe 

Reg::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"msnmsgr"=-



poste moi le nouveau rapport Combo obtenu pour analyse ...



===========================


2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Safius · Answer

Voilà le nouveau rapport : ComboFix 10-03-24.01 - Safia 24/03/2010 21:07:12.3.2 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2940.1571 [GMT 1:00] Lancé depuis: c:\users\Safia\Downloads\Safius.exe Commutateurs utilisés :: c:\users\Safia\Desktop\CFScript.txt SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} FILE :: "c:\program files\QuickTime\qttask .exe" "c:\program files\Windows Live\Messenger\msnmsgr .exe" . ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-24 au 2010-03-24 )))))))))))))))))))))))))))))))))))) . 2010-03-24 20:12 . 2010-03-24 20:12 -------- d-----w- c:\users\Public\AppData\Local emp 2010-03-24 20:12 . 2010-03-24 20:12 -------- d-----w- c:\users\Default\AppData\Local emp 2010-03-24 20:03 . 2010-03-24 20:04 -------- d-----w- C:\Safius17104S 2010-03-20 21:17 . 2010-03-20 21:39 -------- d-----w- C:\Safius 2010-03-18 20:08 . 2010-03-20 17:19 -------- d---a-w- C:\Navilog1 2010-03-18 20:08 . 2010-03-20 17:09 -------- d-----w- c:\program files avilog1 2010-03-18 19:11 . 2010-03-18 19:13 -------- d-----w- C: sit 2010-03-18 19:11 . 2010-03-18 19:12 -------- d-----w- c:\program files rend micro 2010-03-18 17:33 . 2010-03-18 17:33 -------- d-----w- c:\programdata\WindowsSearch 2010-03-17 13:22 . 2010-03-17 13:22 -------- d-----w- c:\users\Safia\AppData\Roaming\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-17 13:21 . 2010-03-17 13:21 -------- d-----w- c:\programdata\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-17 13:21 . 2010-03-17 13:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-03-15 19:38 . 2010-03-24 16:42 823296 ----a-w- c:\windows\system32\drivers frht.sys 2010-03-15 19:36 . 2010-03-15 19:36 -------- d-----w- c:\windows\Sun 2010-03-12 08:58 . 2010-02-20 23:39 24064 ----a-w- c:\windows\system32 shhttp.dll 2010-03-12 08:58 . 2010-02-20 21:18 411136 ----a-w- c:\windows\system32\drivers\http.sys 2010-03-12 08:58 . 2010-02-20 23:37 31232 ----a-w- c:\windows\system32\httpapi.dll 2010-03-11 17:49 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll 2010-03-09 21:19 . 2010-03-09 21:19 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-03-09 11:23 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll 2010-03-09 11:23 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll 2010-03-09 09:19 . 2010-02-12 10:48 293376 ----a-w- c:\windows\system32\browserchoice.exe 2010-03-06 17:09 . 2009-12-08 20:52 3597912 ----a-w- c:\windows\system32 tkrnlpa.exe 2010-03-06 17:09 . 2009-12-08 20:52 3546200 ----a-w- c:\windows\system32 toskrnl.exe 2010-02-25 10:55 . 2010-02-25 10:55 -------- d-----w- c:\programdata\HPSSUPPLY 2010-02-23 18:24 . 2010-01-23 09:44 2048 ----a-w- c:\windows\system32 zres.dll 2010-02-23 18:24 . 2010-01-25 08:35 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-02-23 18:24 . 2010-01-25 08:34 511488 ----a-w- c:\windows\system32\RMActivate.exe 2010-02-23 18:24 . 2010-01-25 12:48 472576 ----a-w- c:\windows\system32\secproc_isv.dll 2010-02-23 18:24 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-02-23 18:24 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-02-23 18:24 . 2010-01-25 12:48 472064 ----a-w- c:\windows\system32\secproc.dll 2010-02-23 18:24 . 2010-01-25 12:45 329216 ----a-w- c:\windows\system32\msdrm.dll 2010-02-23 18:24 . 2010-01-25 08:35 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-02-23 18:24 . 2010-01-25 08:34 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-24 18:55 . 2009-02-05 19:05 1 ----a-w- c:\users\Safia\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-24 17:42 . 2009-11-01 12:18 -------- d-----w- c:\program files\iTunes 2010-03-24 16:49 . 2008-08-27 06:55 669328 ----a-w- c:\windows\system32\perfh00C.dat 2010-03-24 16:49 . 2008-08-27 06:55 123350 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-24 16:41 . 2009-11-01 12:16 -------- d-----w- c:\program files\QuickTime 2010-03-21 15:27 . 2008-08-26 21:54 -------- d-----w- c:\program files\EasyBits For Kids 2010-03-12 09:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-03-12 09:01 . 2009-02-05 18:45 -------- d-----w- c:\programdata\Microsoft Help 2010-03-07 10:21 . 2008-08-26 21:54 588472 ----a-w- c:\windows\system32\ezsvc7x.dll 2010-02-24 12:18 . 2009-02-01 14:17 84552 ----a-w- c:\users\Safia\AppData\Local\GDIPFONTCACHEV1.DAT 2010-02-24 09:16 . 2009-10-02 16:56 181632 ------w- c:\windows\system32\MpSigStub.exe 2009-12-28 12:35 . 2010-02-13 14:00 11776 ----a-w- c:\windows\system32 sbyuv.dll 2009-12-28 12:35 . 2010-02-13 14:00 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-28 12:32 . 2010-02-13 14:00 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-28 12:32 . 2010-02-13 14:00 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-28 12:32 . 2010-02-13 14:00 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-28 12:32 . 2010-02-13 14:00 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-28 12:31 . 2010-02-13 14:00 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-28 12:31 . 2010-02-13 14:00 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-28 12:28 . 2010-02-13 14:00 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-28 12:28 . 2010-02-13 14:00 65024 ----a-w- c:\windows\system32\avicap32.dll 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll 2008-08-27 07:10 . 2008-08-27 07:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT . [code]

c:\program files\QuickTime\qttask    .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\Windows Live\Messenger\msnmsgr    .exe
c:\program files\Windows Live\Messenger\msnmsgr  .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-07-03 972080] "msnmsgr"="c:\program files\windows live\messenger\msnmsgr .exe" [2009-07-26 3883856] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-04-16 24264488] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536] "KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13539872] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 92704] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2010-03-17 40448] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [N/A] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [N/A] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2010-03-17 40448] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544] c:\users\Safia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232] S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-17 108289] S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504] S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS etr73.sys [2008-02-26 493568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . Contenu du dossier 'Tâches planifiées' 2010-03-24 c:\windows\Tasks\User_Feed_Synchronization-{1455DC82-9BD2-41F9-97CD-BAE51E24FB9D}.job - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt uInternet Settings,ProxyOverride = *.local IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar esources\fr-FR\local\search.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Safia\AppData\Roaming\Mozilla\Firefox\Profiles a8b2v9s.default\ FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\program files\ma-config.com phardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-24 21:12 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2010-03-24 21:15:06 ComboFix-quarantined-files.txt 2010-03-24 20:15 ComboFix2.txt 2010-03-24 16:53 ComboFix3.txt 2010-03-20 21:39 Avant-CF: 241 168 031 744 octets libres Après-CF: 241 126 539 264 octets libres - - End Of File - - 44FFF3A103F8ADCAA7AEFA2B3A56DEEE

sKe69 · Answer

vu , 


j'attends le rapport ZHPDiag maintenant ... 



une fois ce rapport posté , fait ce qui suit : 



1- Avoir accès aux fichiers cachés : 
  
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers 
--> vas sur l'onglet " Affichage " . 
* "Afficher les fichiers et dossiers cachés" ---> coché  
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché  
* "masquer les fichiers du système" ---> décoché 
-> valide la modif ( "appliquer" puis "ok" ). 
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )  


2- Rends toi sur ce site :  

https://www.virustotal.com/gui/  

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  :  
c:\windows\system32\drivers
frht.sys        

Clique sur Send File ( = " Envoyer le fichier " ).  

Un rapport va s'élaborer ligne à ligne.  

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.  

Sauvegarde le rapport avec le bloc-note.  

Copie le dans ta prochaine réponse ...  

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) 

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses 


========================= 

3- Télécharge SystemLook de jpshortstuff sur ton bureau : 

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe 


* Double-clique sur "SystemLook.exe" pour lancer l'outil . 

-> Copies/colle le texte ci-dessous dans la fenêtre : 


:dir 
c:\program files\QuickTime 
c:\program files\Windows Live 


* Clique sur le bouton [Look] pour lancer l'examen . 

Laisse travailler ... 

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.  

-> Poste ce rapport dans ta prochaine réponse pour analyse et attends la suite ... 


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" ) 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

Voilà pour le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijAf3rk9P.txt

Merci :)

sKe69 · Answer

Vu ... 


pas besoin de faire la manipe de VirusTotal ... j'ai les infos sur cette merde de driver grace à ZHPDiag .... 


parcontre fait bien ceci stp : 


Télécharge SystemLook de jpshortstuff sur ton bureau :  

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe  


* Clique droit / 'executer en tant qu'admin...' sur "SystemLook.exe" pour lancer l'outil .  

-> Copies/colle le texte ci-dessous dans la fenêtre :  


:dir  
c:\program files\QuickTime  
c:\program files\Windows Live  


* Clique sur le bouton [Look] pour lancer l'examen .  

Laisse travailler ...  

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.  

-> Poste ce rapport dans ta prochaine réponse pour analyse et attends la suite ...  


( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

Voilà : 

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 19:37 on 25/03/2010 by Safia (Administrator - Elevation successful)

========== dir ==========

c:\program files\QuickTime - Parameters: "(none)"

---Files---
PictureViewer.exe	--a--- 561152 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
QTInfo.exe	--a--- 800032 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
QTOControl.dll	--a--- 894240 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
QTOLibrary.dll	--a--- 820512 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
QTPlugin.ocx	--a--- 795952 bytes	[00:55 05/09/2009]	[00:55 05/09/2009]
qttask    .exe	--a--- 417792 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
qttask.exe	--a--- 40448 bytes	[00:54 05/09/2009]	[15:53 16/03/2010]
QTUIPanelControl.dll	--a--- 365856 bytes	[00:55 05/09/2009]	[00:55 05/09/2009]
QuickTime Read Me.htm	--a--- 10977 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
QuickTimePlayer.dll	--a--- 7861536 bytes	[00:55 05/09/2009]	[00:55 05/09/2009]
QuickTimePlayer.exe	--a--- 1230112 bytes	[00:55 05/09/2009]	[00:55 05/09/2009]
Sample.mov	--a--- 55622 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]
Sample.qtif	--a--- 18663 bytes	[00:54 05/09/2009]	[00:54 05/09/2009]

---Folders---
PictureViewer.Resources	d-----	[12:16 01/11/2009]
Plugins	d-----	[12:16 01/11/2009]
PropertyPanels	d-----	[12:16 01/11/2009]
QTComponents	d-----	[12:16 01/11/2009]
QTSystem	d-----	[12:16 01/11/2009]
QuickTimePlayer.Resources	d-----	[12:16 01/11/2009]

c:\program files\Windows Live - Parameters: "(none)"

---Files---
None found.

---Folders---
Contacts	d-----	[13:37 07/11/2009]
installer	d-----	[18:19 02/02/2009]
Messenger	d-----	[15:30 01/02/2009]

-=End Of File=-

sKe69 · Answer

hello,


j'ai fait une petite erreur ... du coup il me manque des infos ... ^^


refait ceci :


* Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:dir
c:\program files\Windows Live\Messenger


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. 

-> Poste ce rapport dans ta prochaine réponse pour analyse ...


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )

Safius · Answer

Voilà :

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:16 on 25/03/2010 by Safia (Administrator - Elevation successful)

========== dir ==========

c:\program files\Windows Live\Messenger - Parameters: "(none)"

---Files---
backgrounds.mct	--a--- 319733 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
ctticon.ico	--a--- 78988 bytes	[16:13 02/10/2007]	[16:13 02/10/2007]
dynamicbackgrounds.mct	--a--- 784535 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
ErrorResponse.xml	--a--- 1834 bytes	[16:12 02/10/2007]	[16:12 02/10/2007]
highcont.thm	--a--- 38224 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
license.rtf	--a--- 157525 bytes	[16:11 02/10/2007]	[16:11 02/10/2007]
liveNatTrav.dll	--a--- 224592 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
livetransport.dll	--a--- 553792 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msgrapp.14.0.8089.0726.dll	--a--- 61264 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msgrvsta.thm	--a--- 24384 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msgsc.14.0.8089.0726.dll	--a--- 221520 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msgslang.14.0.8089.0726.dll	--a--- 367424 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msgsres.dll	--a--- 11409744 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msgswcam.dll	--a--- 441152 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msidcrl40.dll	--a--- 1144904 bytes	[16:24 17/09/2008]	[16:24 17/09/2008]
msimg32.dll	--a--- 59728 bytes	[15:34 01/02/2009]	[20:59 31/01/2009]
msnmsgr     .exe	--a--- 3883856 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
msnmsgr  .exe	--a--- 40448 bytes	[15:44 26/07/2009]	[18:49 18/03/2010]
msvs.exe	--a--- 442760 bytes	[15:07 14/11/2008]	[15:07 14/11/2008]
msvsConfig2.xml	--a--- 3289 bytes	[16:04 07/11/2006]	[16:04 07/11/2006]
msvsui.dll	--a--- 51568 bytes	[15:56 07/11/2006]	[15:56 07/11/2006]
newalert.wma	--a--- 20115 bytes	[15:23 21/07/2009]	[15:23 21/07/2009]
newemail.wma	--a--- 17111 bytes	[15:23 21/07/2009]	[15:23 21/07/2009]
nudge.wma	--a--- 20115 bytes	[15:23 21/07/2009]	[15:23 21/07/2009]
online.wma	--a--- 20115 bytes	[15:23 21/07/2009]	[15:23 21/07/2009]
outgoing.wma	--a--- 32131 bytes	[15:23 21/07/2009]	[15:23 21/07/2009]
phone.wma	--a--- 29127 bytes	[15:23 21/07/2009]	[15:23 21/07/2009]
PresenceIM.dll	--a--- 424272 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
psmsong.14.0.8089.0726.dll	--a--- 55104 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
rtmpltfm.dll	--a--- 6153552 bytes	[15:28 21/07/2009]	[15:28 21/07/2009]
scenes.mct	--a--- 1314372 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
sounds.mct	--a--- 308593 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
sqmapi.dll	--a--- 144416 bytes	[15:29 21/07/2009]	[15:29 21/07/2009]
type.wma	--a--- 14031 bytes	[16:12 02/10/2007]	[16:12 02/10/2007]
uccapi.dll	--a--- 4752200 bytes	[15:28 21/07/2009]	[15:28 21/07/2009]
uccapires.dll	--a--- 639824 bytes	[15:28 21/07/2009]	[15:28 21/07/2009]
usertiles.mct	--a--- 479278 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
uxcalendar.dll	--a--- 103232 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
uxcontacts.dll	--a--- 541008 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
uxcore.dll	--a--- 2391360 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
vimdone.wma	--a--- 11027 bytes	[16:12 02/10/2007]	[16:12 02/10/2007]
vvpltfrm.dll	--a--- 439632 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
winks.mct	--a--- 563322 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
wlchtc.dll	--a--- 73072 bytes	[17:21 06/02/2009]	[17:21 06/02/2009]
wlcsdk.exe	--a--- 583024 bytes	[17:21 06/02/2009]	[17:21 06/02/2009]
wlcstart.exe	--a--- 62304 bytes	[17:17 06/02/2009]	[17:17 06/02/2009]
wlcui.dll	--a--- 876896 bytes	[17:17 06/02/2009]	[17:17 06/02/2009]
wlcuires.dll	--a--- 76144 bytes	[17:20 06/02/2009]	[17:20 06/02/2009]
wldcore.dll	--a--- 48976 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
wldlog.dll	--a--- 31552 bytes	[15:44 26/07/2009]	[15:44 26/07/2009]
wmaecdmort.dll	--a--- 598856 bytes	[16:12 02/10/2007]	[16:12 02/10/2007]
wmv9vcm.dll	--a--- 1565480 bytes	[16:12 02/10/2007]	[16:12 02/10/2007]

---Folders---
None found.

-=End Of File=-

sKe69 · Answer

bien ...


très instructif ! ...


va me falloir encore d'autre recherche du même type :



* Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:dir
c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps
c:\program files\Adobe\Reader 8.0\Reader
c:\program files\Hewlett-Packard\HP Advisor
c:\program files\Hewlett-Packard\HP Health Check
c:\program files\HP\Digital Imaging\bin
c:\program files\HP\HP Software Update
c:\program files\iTunes
c:\program files\Java\jre1.6.0_07\bin


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. 

-> Poste ce rapport dans ta prochaine réponse pour analyse ( si il es trop long, utilise Cijoint ) ...


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )

Safius · Answer

Voilà :)

http://www.cijoint.fr/cjlink.php?file=cj201003/cijcTzjTnN.txt

sKe69 · Answer

très bien ... 



histoire d'être sur du coup j'aimerais que tu fasse ceci avant de poursuivre le nettoyage : 


Rends toi sur ce site :  

https://www.virustotal.com/gui/  

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  :  
c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe 

Clique sur Send File ( = " Envoyer le fichier " ).  

Un rapport va s'élaborer ligne à ligne.  

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.  

Sauvegarde le rapport avec le bloc-note.  

Copie le dans ta prochaine réponse ...  

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) 

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses 


Fais de même pour : 

c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe 
c:\program files\QuickTime\qttask.exe ( celui qui fait une taille de 40 Ko ) 
c:\program files\Windows Live\Messenger\msnmsgr .exe ( celui qui fait une taille de 40 Ko ) 


Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ... 





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

Pour pas m'embrouiller je vais poster un message pour chaque raport.

Donc pour c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe 

J'ai copié collé mais ça m'a pas l'air très clair alors je mets le lien au cas où : http://www.virustotal.com/fr/analisis/f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f-1269549934

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.25	Trojan-Dropper.Agent!IK
AhnLab-V3	5.0.0.2	2010.03.25	-
AntiVir	7.10.5.225	2010.03.25	TR/Drop.Agent.btck.1
Antiy-AVL	2.0.3.7	2010.03.24	-
Authentium	5.2.0.5	2010.03.25	-
Avast	4.8.1351.0	2010.03.25	Win32:Malware-gen
Avast5	5.0.332.0	2010.03.25	Win32:Malware-gen
AVG	9.0.0.787	2010.03.25	Generic17.ARR
BitDefender	7.2	2010.03.25	Trojan.Generic.3547058
CAT-QuickHeal	10.00	2010.03.25	TrojanDropper.Agent.btck
ClamAV	0.96.0.0-git	2010.03.25	-
Comodo	4384	2010.03.25	UnclassifiedMalware
DrWeb	5.0.1.12222	2010.03.25	Trojan.DownLoad1.44361
eSafe	7.0.17.0	2010.03.25	-
eTrust-Vet	35.2.7389	2010.03.25	Win32/SillyDl.UWL
F-Prot	4.5.1.85	2010.03.25	-
F-Secure	9.0.15370.0	2010.03.25	Trojan.Generic.3547058
Fortinet	4.0.14.0	2010.03.24	W32/Agent.BTCK!tr
GData	19	2010.03.25	Trojan.Generic.3547058
Ikarus	T3.1.1.80.0	2010.03.25	Trojan-Dropper.Agent
Jiangmin	13.0.900	2010.03.25	TrojanDropper.Agent.alei
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.25	Trojan-Dropper.Win32.Agent.btck
McAfee	5931	2010.03.25	Generic Dropper!csa
McAfee+Artemis	5931	2010.03.25	Generic Dropper!csa
McAfee-GW-Edition	6.8.5	2010.03.25	Heuristic.LooksLike.Trojan.Drop.Agent.H
Microsoft	1.5605	2010.03.25	TrojanDownloader:Win32/Unruy.C
NOD32	4974	2010.03.25	a variant of Win32/Kryptik.CZR
Norman	6.04.10	2010.03.25	W32/Smalltroj.XMNL
nProtect	2009.1.8.0	2010.03.25	-
Panda	10.0.2.2	2010.03.25	Trj/Downloader.MDW
PCTools	7.0.3.5	2010.03.25	-
Rising	22.40.03.04	2010.03.25	-
Sophos	4.52.0	2010.03.25	Mal/Generic-L
Sunbelt	6086	2010.03.25	Trojan.Win32.Generic!BT
Symantec	20091.2.0.41	2010.03.25	Trojan.Gen
TheHacker	6.5.2.0.245	2010.03.25	Trojan/Kryptik.cyq
TrendMicro	9.120.0.1004	2010.03.25	Mal_Bits
VBA32	3.12.12.2	2010.03.25	-
ViRobot	2010.3.25.2244	2010.03.25	-
VirusBuster	5.0.27.0	2010.03.25	Trojan.DR.Agent.UHVJ
Information additionnelle
File size: 40448 bytes
MD5...: 8a7fa714a82e83129bff24b81ec1a5e1
SHA1..: e8ff56c2dc57e3ccd73308dfe8315e21b65d0f33
SHA256: f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f
ssdeep: 768:uxaB1+2utdDU75nM2LJF6K8Py62X31H58Y4B+BZ1:uxaHlgalM2H6K8PyTby
B+9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x21f0
timedatestamp.....: 0x41dff144 (Sat Jan 08 14:42:12 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x7000 7.30 a14e2c7f89bd9fde4db234af56b991f0
.rdata 0x8000 0x1000 0x200 2.22 6f241d56d7f9a9087301da890a57ce6d
.data 0x9000 0x3000 0x2200 7.20 34f70be8b9a983879d7d5eef26bc8071
.rsrc 0xc000 0x7000 0x600 2.63 3b3ecb3324e56303b263f6efde9b6921

( 1 imports )
> KERNEL32.dll: ExitProcess, GetVersion, LoadLibraryA, GetProcAddress, GetProcessHeap, VirtualProtectEx, CloseHandle, VirtualAlloc, VirtualFree

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

c'est exactement ce qu'il me faut ! ...


continue ...

Safius · Answer

Pour c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe 

http://www.virustotal.com/fr/analisis/f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f-1269551072

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.25	Trojan-Dropper.Agent!IK
AhnLab-V3	5.0.0.2	2010.03.25	-
AntiVir	7.10.5.225	2010.03.25	TR/Drop.Agent.btck.1
Antiy-AVL	2.0.3.7	2010.03.24	-
Authentium	5.2.0.5	2010.03.25	-
Avast	4.8.1351.0	2010.03.25	Win32:Malware-gen
Avast5	5.0.332.0	2010.03.25	Win32:Malware-gen
AVG	9.0.0.787	2010.03.25	Generic17.ARR
BitDefender	7.2	2010.03.25	Trojan.Generic.3547058
CAT-QuickHeal	10.00	2010.03.25	TrojanDropper.Agent.btck
ClamAV	0.96.0.0-git	2010.03.25	-
Comodo	4384	2010.03.25	UnclassifiedMalware
DrWeb	5.0.1.12222	2010.03.25	Trojan.DownLoad1.44361
eSafe	7.0.17.0	2010.03.25	-
eTrust-Vet	35.2.7389	2010.03.25	Win32/SillyDl.UWL
F-Prot	4.5.1.85	2010.03.25	-
F-Secure	9.0.15370.0	2010.03.25	Trojan.Generic.3547058
Fortinet	4.0.14.0	2010.03.24	W32/Agent.BTCK!tr
GData	19	2010.03.25	Trojan.Generic.3547058
Ikarus	T3.1.1.80.0	2010.03.25	Trojan-Dropper.Agent
Jiangmin	13.0.900	2010.03.25	TrojanDropper.Agent.alei
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.25	Trojan-Dropper.Win32.Agent.btck
McAfee	5931	2010.03.25	Generic Dropper!csa
McAfee+Artemis	5931	2010.03.25	Generic Dropper!csa
McAfee-GW-Edition	6.8.5	2010.03.25	Heuristic.LooksLike.Trojan.Drop.Agent.H
Microsoft	1.5605	2010.03.25	TrojanDownloader:Win32/Unruy.C
NOD32	4975	2010.03.25	a variant of Win32/Kryptik.CZR
Norman	6.04.10	2010.03.25	W32/Smalltroj.XMNL
nProtect	2009.1.8.0	2010.03.25	-
Panda	10.0.2.2	2010.03.25	-
PCTools	7.0.3.5	2010.03.25	-
Prevx	3.0	2010.03.25	-
Rising	22.40.03.04	2010.03.25	-
Sophos	4.52.0	2010.03.25	Mal/Generic-L
Sunbelt	6086	2010.03.25	Trojan.Win32.Generic!BT
Symantec	20091.2.0.41	2010.03.25	Trojan.Gen
TheHacker	6.5.2.0.245	2010.03.25	Trojan/Kryptik.cyq
TrendMicro	9.120.0.1004	2010.03.25	Mal_Bits
VBA32	3.12.12.2	2010.03.25	-
ViRobot	2010.3.25.2244	2010.03.25	-
VirusBuster	5.0.27.0	2010.03.25	Trojan.DR.Agent.UHVJ
Information additionnelle
File size: 40448 bytes
MD5...: 8a7fa714a82e83129bff24b81ec1a5e1
SHA1..: e8ff56c2dc57e3ccd73308dfe8315e21b65d0f33
SHA256: f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f
ssdeep: 768:uxaB1+2utdDU75nM2LJF6K8Py62X31H58Y4B+BZ1:uxaHlgalM2H6K8PyTby
B+9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x21f0
timedatestamp.....: 0x41dff144 (Sat Jan 08 14:42:12 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x7000 7.30 a14e2c7f89bd9fde4db234af56b991f0
.rdata 0x8000 0x1000 0x200 2.22 6f241d56d7f9a9087301da890a57ce6d
.data 0x9000 0x3000 0x2200 7.20 34f70be8b9a983879d7d5eef26bc8071
.rsrc 0xc000 0x7000 0x600 2.63 3b3ecb3324e56303b263f6efde9b6921

( 1 imports )
> KERNEL32.dll: ExitProcess, GetVersion, LoadLibraryA, GetProcAddress, GetProcessHeap, VirtualProtectEx, CloseHandle, VirtualAlloc, VirtualFree

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Safius · Answer

Pour c:\program files\QuickTime\qttask.exe 

http://www.virustotal.com/fr/analisis/01e0667f743a08210873b7ceb30ea6592596cce70e9ce9f6ccf40f22261201ee-1269551909

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.25	-
AhnLab-V3	5.0.0.2	2010.03.25	-
AntiVir	7.10.5.225	2010.03.25	-
Antiy-AVL	2.0.3.7	2010.03.24	-
Authentium	5.2.0.5	2010.03.25	-
Avast	4.8.1351.0	2010.03.25	-
Avast5	5.0.332.0	2010.03.25	-
AVG	9.0.0.787	2010.03.25	-
BitDefender	7.2	2010.03.25	-
CAT-QuickHeal	10.00	2010.03.25	-
ClamAV	0.96.0.0-git	2010.03.25	-
Comodo	4384	2010.03.25	-
DrWeb	5.0.1.12222	2010.03.25	-
eSafe	7.0.17.0	2010.03.25	Win32.TrojanHorse
eTrust-Vet	35.2.7389	2010.03.25	-
F-Prot	4.5.1.85	2010.03.25	-
F-Secure	9.0.15370.0	2010.03.25	-
Fortinet	4.0.14.0	2010.03.24	-
GData	19	2010.03.25	-
Ikarus	T3.1.1.80.0	2010.03.25	-
Jiangmin	13.0.900	2010.03.25	-
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.25	-
McAfee	5931	2010.03.25	-
McAfee+Artemis	5931	2010.03.25	-
McAfee-GW-Edition	6.8.5	2010.03.25	-
Microsoft	1.5605	2010.03.25	-
NOD32	4975	2010.03.25	-
Norman	6.04.10	2010.03.25	-
nProtect	2009.1.8.0	2010.03.25	-
Panda	10.0.2.2	2010.03.25	-
PCTools	7.0.3.5	2010.03.25	-
Prevx	3.0	2010.03.25	-
Rising	22.40.03.04	2010.03.25	-
Sophos	4.52.0	2010.03.25	-
Sunbelt	6086	2010.03.25	-
Symantec	20091.2.0.41	2010.03.25	-
TheHacker	6.5.2.0.245	2010.03.25	-
TrendMicro	9.120.0.1004	2010.03.25	-
VBA32	3.12.12.2	2010.03.25	-
ViRobot	2010.3.25.2244	2010.03.25	-
VirusBuster	5.0.27.0	2010.03.25	-
Information additionnelle
File size: 417792 bytes
MD5...: 8cbd57d84729debee1e83cb5fa3e3d7a
SHA1..: b26ccae897aabdb6a4747828b5aa29ecf10ab184
SHA256: 01e0667f743a08210873b7ceb30ea6592596cce70e9ce9f6ccf40f22261201ee
ssdeep: 3072:IeHnUgOsoBv5YCSY5rdWFbIa648bm+CSLipXkhTNax6JWotnfM+9B0eCkBQ
3anSS:IeHnUgOJv5Y25HC5om+xBzBaS
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x28202
timedatestamp.....: 0x4aa21d64 (Sat Sep 05 08:12:20 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x49d65 0x4a000 6.17 df42404359a137922980b8e82ab25deb
.rdata 0x4b000 0x4ec4 0x5000 5.49 1431c5c722aabbd4248a5f7c5cbe4105
.data 0x50000 0x32a4 0x2000 2.48 60b8c1a51d107af6c10c26a7975ef6fd
.rsrc 0x54000 0xc5f8 0xd000 5.00 48585b1c0037f1f4bd57931b7ca49f71
.reloc 0x61000 0x655a 0x7000 6.08 15ab5c368bb8c9b042c74dd19ac22993

( 6 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: GetVersionExA, WaitForSingleObject, CreateProcessA, ResetEvent, SetEvent, WaitForMultipleObjects, Sleep, CreateThread, GetLastError, CreateMutexA, GetModuleHandleA, GetSystemDirectoryA, TerminateProcess, GlobalFree, GlobalAlloc, ReleaseMutex, GetCurrentProcessId, GetConsoleOutputCP, WriteConsoleA, GetTimeZoneInformation, CompareStringW, CompareStringA, SetFilePointer, FindFirstFileA, HeapSize, FlushFileBuffers, GetConsoleMode, GetConsoleCP, VirtualAlloc, HeapReAlloc, IsValidLocale, EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, OpenProcess, FindClose, CloseHandle, LoadLibraryA, GetProcAddress, FreeLibrary, CreateEventA, GetModuleFileNameA, WriteConsoleW, SetStdHandle, ReadFile, GetLocaleInfoW, EnterCriticalSection, SetEnvironmentVariableW, SetEnvironmentVariableA, RaiseException, CreateFileA, LeaveCriticalSection, ExitProcess, MultiByteToWideChar, GetFileAttributesA, RtlUnwind, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, LCMapStringA, WideCharToMultiByte, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, DeleteCriticalSection, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FatalAppExitA, WriteFile, SetConsoleCtrlHandler, InterlockedExchange, InitializeCriticalSection
> USER32.dll: LoadIconA, LoadCursorA, RegisterClassExA, CreateWindowExA, SetWindowLongA, GetWindowLongA, DefWindowProcA, PostQuitMessage, LoadMenuA, GetSubMenu, DestroyMenu, SetMenuDefaultItem, GetCursorPos, SetForegroundWindow, TrackPopupMenu, CreatePopupMenu, GetMenuStringA, ModifyMenuA, EnableMenuItem, FindWindowA, GetWindowThreadProcessId, SendMessageA, AppendMenuA, MessageBoxA, LoadStringA, GetMessageA, TranslateMessage, DispatchMessageA, PostMessageA, wsprintfA
> GDI32.dll: GetStockObject
> ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCloseKey, RegEnumKeyA
> SHELL32.dll: ShellExecuteA, Shell_NotifyIconA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Apple Inc.
copyright....: Copyright Apple Inc. 1989-2009
product......: QuickTime
description..: QuickTime Task
original name: QTTask.exe
internal name: QuickTime Task
file version.: 7.6.4 (1327.73)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

re,


pour QTTask.exe ce n'est pas le bon ! .... analyse celui qui fait 40 Ko stp ....

Safius · Answer

Ah oui mince je recommence !

Safius · Answer

Pour c:\program files\QuickTime\qttask.exe

http://www.virustotal.com/fr/analisis/f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f-1269553265

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.25	Trojan-Dropper.Agent!IK
AhnLab-V3	5.0.0.2	2010.03.25	-
AntiVir	7.10.5.225	2010.03.25	TR/Drop.Agent.btck.1
Antiy-AVL	2.0.3.7	2010.03.24	-
Authentium	5.2.0.5	2010.03.25	-
Avast	4.8.1351.0	2010.03.25	Win32:Malware-gen
Avast5	5.0.332.0	2010.03.25	Win32:Malware-gen
AVG	9.0.0.787	2010.03.25	Generic17.ARR
BitDefender	7.2	2010.03.25	Trojan.Generic.3547058
CAT-QuickHeal	10.00	2010.03.25	TrojanDropper.Agent.btck
ClamAV	0.96.0.0-git	2010.03.25	-
Comodo	4384	2010.03.25	UnclassifiedMalware
DrWeb	5.0.1.12222	2010.03.25	Trojan.DownLoad1.44361
eSafe	7.0.17.0	2010.03.25	-
eTrust-Vet	35.2.7389	2010.03.25	Win32/SillyDl.UWL
F-Prot	4.5.1.85	2010.03.25	-
F-Secure	9.0.15370.0	2010.03.25	Trojan.Generic.3547058
Fortinet	4.0.14.0	2010.03.24	W32/Agent.BTCK!tr
GData	19	2010.03.25	Trojan.Generic.3547058
Ikarus	T3.1.1.80.0	2010.03.25	Trojan-Dropper.Agent
Jiangmin	13.0.900	2010.03.25	TrojanDropper.Agent.alei
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.25	Trojan-Dropper.Win32.Agent.btck
McAfee	5931	2010.03.25	Generic Dropper!csa
McAfee+Artemis	5931	2010.03.25	Generic Dropper!csa
McAfee-GW-Edition	6.8.5	2010.03.25	Heuristic.LooksLike.Trojan.Drop.Agent.H
Microsoft	1.5605	2010.03.25	TrojanDownloader:Win32/Unruy.C
NOD32	4975	2010.03.25	a variant of Win32/Kryptik.CZR
Norman	6.04.10	2010.03.25	W32/Smalltroj.XMNL
nProtect	2009.1.8.0	2010.03.25	-
Panda	10.0.2.2	2010.03.25	Trj/Downloader.MDW
PCTools	7.0.3.5	2010.03.25	-
Prevx	3.0	2010.03.25	-
Rising	22.40.03.04	2010.03.25	-
Sophos	4.52.0	2010.03.25	Mal/Generic-L
Sunbelt	6086	2010.03.25	Trojan.Win32.Generic!BT
Symantec	20091.2.0.41	2010.03.25	Trojan.Gen
TheHacker	6.5.2.0.245	2010.03.25	Trojan/Kryptik.cyq
TrendMicro	9.120.0.1004	2010.03.25	Mal_Bits
VBA32	3.12.12.2	2010.03.25	-
ViRobot	2010.3.25.2244	2010.03.25	-
VirusBuster	5.0.27.0	2010.03.25	Trojan.DR.Agent.UHVJ
Information additionnelle
File size: 40448 bytes
MD5...: 8a7fa714a82e83129bff24b81ec1a5e1
SHA1..: e8ff56c2dc57e3ccd73308dfe8315e21b65d0f33
SHA256: f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f
ssdeep: 768:uxaB1+2utdDU75nM2LJF6K8Py62X31H58Y4B+BZ1:uxaHlgalM2H6K8PyTby
B+9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x21f0
timedatestamp.....: 0x41dff144 (Sat Jan 08 14:42:12 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x7000 7.30 a14e2c7f89bd9fde4db234af56b991f0
.rdata 0x8000 0x1000 0x200 2.22 6f241d56d7f9a9087301da890a57ce6d
.data 0x9000 0x3000 0x2200 7.20 34f70be8b9a983879d7d5eef26bc8071
.rsrc 0xc000 0x7000 0x600 2.63 3b3ecb3324e56303b263f6efde9b6921

( 1 imports )
> KERNEL32.dll: ExitProcess, GetVersion, LoadLibraryA, GetProcAddress, GetProcessHeap, VirtualProtectEx, CloseHandle, VirtualAlloc, VirtualFree

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
pdfid.: -

sKe69 · Answer

le dernier pour le fun ...

( idem .... celui de 40 Ko )

Safius · Answer

& enfin : http://www.virustotal.com/fr/analisis/f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f-1269553804

Par contre je vais devoir passer à la suite demain soir, merci encore ;)


Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.25	Trojan-Dropper.Agent!IK
AhnLab-V3	5.0.0.2	2010.03.25	-
AntiVir	7.10.5.225	2010.03.25	TR/Drop.Agent.btck.1
Antiy-AVL	2.0.3.7	2010.03.24	-
Authentium	5.2.0.5	2010.03.25	-
Avast	4.8.1351.0	2010.03.25	Win32:Malware-gen
Avast5	5.0.332.0	2010.03.25	Win32:Malware-gen
AVG	9.0.0.787	2010.03.25	Generic17.ARR
BitDefender	7.2	2010.03.25	Trojan.Generic.3547058
CAT-QuickHeal	10.00	2010.03.25	TrojanDropper.Agent.btck
ClamAV	0.96.0.0-git	2010.03.25	-
Comodo	4384	2010.03.25	UnclassifiedMalware
DrWeb	5.0.1.12222	2010.03.25	Trojan.DownLoad1.44361
eSafe	7.0.17.0	2010.03.25	-
eTrust-Vet	35.2.7389	2010.03.25	Win32/SillyDl.UWL
F-Prot	4.5.1.85	2010.03.25	-
F-Secure	9.0.15370.0	2010.03.25	Trojan.Generic.3547058
Fortinet	4.0.14.0	2010.03.24	W32/Agent.BTCK!tr
GData	19	2010.03.25	Trojan.Generic.3547058
Ikarus	T3.1.1.80.0	2010.03.25	Trojan-Dropper.Agent
Jiangmin	13.0.900	2010.03.25	TrojanDropper.Agent.alei
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.25	Trojan-Dropper.Win32.Agent.btck
McAfee	5931	2010.03.25	Generic Dropper!csa
McAfee+Artemis	5931	2010.03.25	Generic Dropper!csa
McAfee-GW-Edition	6.8.5	2010.03.25	Heuristic.LooksLike.Trojan.Drop.Agent.H
Microsoft	1.5605	2010.03.25	TrojanDownloader:Win32/Unruy.C
NOD32	4975	2010.03.25	a variant of Win32/Kryptik.CZR
Norman	6.04.10	2010.03.25	W32/Smalltroj.XMNL
nProtect	2009.1.8.0	2010.03.25	-
Panda	10.0.2.2	2010.03.25	-
PCTools	7.0.3.5	2010.03.25	-
Prevx	3.0	2010.03.25	-
Rising	22.40.03.04	2010.03.25	-
Sophos	4.52.0	2010.03.25	Mal/Generic-L
Sunbelt	6087	2010.03.25	Trojan.Win32.Generic!BT
Symantec	20091.2.0.41	2010.03.25	Trojan.Gen
TheHacker	6.5.2.0.245	2010.03.25	Trojan/Kryptik.cyq
TrendMicro	9.120.0.1004	2010.03.25	Mal_Bits
VBA32	3.12.12.2	2010.03.25	-
ViRobot	2010.3.25.2244	2010.03.25	-
VirusBuster	5.0.27.0	2010.03.25	Trojan.DR.Agent.UHVJ
Information additionnelle
File size: 40448 bytes
MD5...: 8a7fa714a82e83129bff24b81ec1a5e1
SHA1..: e8ff56c2dc57e3ccd73308dfe8315e21b65d0f33
SHA256: f217634c218761486ebd5ebdc144a9cedbf6a781736c1129edabce58b2e3d02f
ssdeep: 768:uxaB1+2utdDU75nM2LJF6K8Py62X31H58Y4B+BZ1:uxaHlgalM2H6K8PyTby
B+9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x21f0
timedatestamp.....: 0x41dff144 (Sat Jan 08 14:42:12 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x7000 7.30 a14e2c7f89bd9fde4db234af56b991f0
.rdata 0x8000 0x1000 0x200 2.22 6f241d56d7f9a9087301da890a57ce6d
.data 0x9000 0x3000 0x2200 7.20 34f70be8b9a983879d7d5eef26bc8071
.rsrc 0xc000 0x7000 0x600 2.63 3b3ecb3324e56303b263f6efde9b6921

( 1 imports )
> KERNEL32.dll: ExitProcess, GetVersion, LoadLibraryA, GetProcAddress, GetProcessHeap, VirtualProtectEx, CloseHandle, VirtualAlloc, VirtualFree

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

re,


si possible de faire ceci maintenant , se srait bien :


Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

apdproxy.exe,hphc_scheduler.exe,acrotray 


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant  " Afficher les ADS "


( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt ) 

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

Safius · Answer

Désolé hier soir j'avais éteins mon ordi avant de voir le dernier message, j'ai lancé le rapport il y a plus de 2 heures et il était resté bloqué sur l'étape 2 ... Ca me semblait bizarre donc j'ai désactivé l'antivirus parce que j'me suis dis que c'était à cause des alertes intempestives d'Avira. J4ai donc recommencé & ça l'a fait en 2 minutes ^^
DONC voilà le rapport : 

1. ========================= SEAF 1.0.0.7 - C_XX 
2.  
3. Commencé à: 19:15:43 le 26/03/2010 
4.  
5. Valeur(s) recherchée(s): 
6.  
7. apdproxy.exe 
8. hphc_scheduler.exe 
9. acrotray 
10.  
11. (!) --- Calcul du Hash "MD5" 
12. (!) --- Affichage des ADS 
13. (!) --- Informations supplémentaires 
14.  
15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ====== 
16.  
17. "c:\Qoobox\Quarantine\C\Program Files\Adobe\acrotray .exe.vir" [ ----A---- | 27136 ] 
18. TC: 15/03/2010,20:39:20 | TM: 18/03/2010,14:14:24 | DA: 15/03/2010,20:39:20 
19. MD5: 70c714ef7f5dbff570b507135daa4a3a 
20.  
21.  
22.  
23. ========================= 
24.  
25. "c:\Program Files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe" [ ----A---- | 40448 ] 
26. TC: 02/06/2008,14:14:04 | TM: 26/03/2010,19:15:11 | DA: 26/03/2010,19:15:11 
27. MD5: 8a7fa714a82e83129bff24b81ec1a5e1 
28.  
29.  
30.  
31. ========================= 
32.  
33. "c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe.config" [ ----A---- | 151 ] 
34. TC: 05/05/2008,08:36:56 | TM: 05/05/2008,08:36:56 | DA: 26/08/2008,22:33:15 
35. MD5: ffb49ee58ef3e271aa25f847d3299047 
36.  
37.  
38.  
39. ========================= 
40.  
41. "c:\Program Files\Adobe\acrotray .exe" [ ----A---- | 27136 ] 
42. TC: 26/03/2010,19:15:50 | TM: 26/03/2010,19:15:50 | DA: 26/03/2010,19:15:50 
43. MD5: 70c714ef7f5dbff570b507135daa4a3a 
44.  
45.  
46.  
47. ========================= 
48.  
49. "c:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ----A---- | 40448 ] 
50. TC: 16/03/2007,10:45:30 | TM: 17/03/2010,15:02:59 | DA: 17/03/2010,15:02:59 
51. MD5: 8a7fa714a82e83129bff24b81ec1a5e1 
52.  
53.  
54.  
55. ========================= 
56.  
57. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ====== 
58.  
59. Aucun dossier trouvé 
60.  
61. ========================= 
62.  
63. Fin à: 19:17:37 le 26/03/2010 ( E.O.F )

sKe69 · Answer

bien ...


la suite dans l'ordre :



1- Supprime manuellement ce fichier :

c:\program files\Windows Live\Messenger\msnmsgr .exe  ( celui qui fait 40 Ko uniquement ! )



Puis renome celui qui reste ainsi msnmsgr.exe  ( sans espace ) .



=============================

2- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File::
C:\Windows\ctfmon.exe.delme156   
C:\Windows\svx.exe.delme155     
C:\Windows\svw.exe.delme154      
C:\Windows\servicelayer.exe.delme153     
C:\Windows\odbnsy.exe.delme151   
C:\Windows\svc.exe.delme150   
C:\Windows\lsass.exe.delme149       
C:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe	
C:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe
C:\program files\QuickTime\qttask.exe
c:\Program Files\Adobe\acrotray .exe
c:\Program Files\Adobe\acrotray .exe

Rootkit::
C:\Windows\System32\drivers
frht.sys

Driver::
nfrht

Fmoved::
c:\program files\QuickTime\qttask .exe | c:\program files\QuickTime\qttask.exe
c:\program files\QuickTime\qttask .exe | c:\program files\QuickTime\qttask.exe



* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

3- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Safius · Answer

Euh par contre y a deux fichiers messenger qui font 40ko je supprime un seul ou les deux ?

Safius · Answer

J'ai supprimé les deux, renommé celui qui restait, lancé le combofix à partir de CFScript, mais au redémarrage l'écran reste au fond noir et j'ai eu un message d'erreur qui s'est affiché :
"C:Windows\system32\app_dll.dll n'est pas conçu pour s'exécuter sous Windows ou il contient une erreur. Installez à nouveau le programme à l'aide du support d'installation d'origine ou bien contactez votre administration système ou le fournisseur du logiciel pour obtenir du support"

J'ai cliqué sur OK & j'ai eu les alertes AVIRA qui sont revenues mais l'écran est toujours noir. Impossible d'aller sur le bureau. J'ai éteins l'ordi, et redemarré, toujours pareil.
Là j'écris à partir d'un ordi portable ...

Safius · Answer

J'avais déjà fais ça, je viens de recommencer mais ça ne marche pas, l'écran est toujours noir :s

sKe69 · Answer

re,


essaye de redémarrer en mode sans échec pour voir :



 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis l' option : Sans Échec avec prise en charge du réseau , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 


dis moi si tu as pu accèder au bureau dans ce mode ...


Question : as tu ton CD original de Windows ? ...

Safius · Answer

C'est BON ! Par contre, lorsqu'il a eu besoin de faire une analyse poussée et qu'il m'a demandé de vérifier que j'étais bien connectée à internet, j'avais débranché le cable avant, donc là je l'ai rebranché avant de continuer mais apparemment c'était trop tard & une fenêtre est arrivé me disant qu'il avait pas pu aller sur le lien où il voulait et que je devais relancer le fichier à partir de C:\CF-submit.htm Donc je vais sur le lien, et le lien qui m'est demandé d'analyser mène à dautre fichiers. Je dois analyser chaque fichier ? Et non je ne crois pas avoir de CD d'installation, il faudrai que je vérifie ça, on en a un obligatoirement quand on achète un nouvel ordi ? Voilà le compte rendu : ComboFix 10-03-26.02 - Safia 27/03/2010 11:34:58.4.2 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2940.1753 [GMT 1:00] Lancé depuis: c:\users\Safia\Downloads\Safius.exe Commutateurs utilisés :: c:\users\Safia\Desktop\CFScript.txt SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} FILE :: "c:\program files\Adobe\acrotray .exe" "c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" "c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe" "c:\program files\QuickTime\qttask.exe" "c:\windows\ctfmon.exe.delme156" "c:\windows\lsass.exe.delme149" "c:\windows\odbnsy.exe.delme151" "c:\windows\servicelayer.exe.delme153" "c:\windows\svc.exe.delme150" "c:\windows\svw.exe.delme154" "c:\windows\svx.exe.delme155" . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\Adobe\acrotray .exe c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe c:\program files\Internet Explorer\js.mui c:\program files\Internet Explorer\wmpscfgs.exe c:\program files\QuickTime\qttask.exe c:\windows\ctfmon.exe.delme156 c:\windows\lsass.exe.delme149 c:\windows\odbnsy.exe.delme151 c:\windows\servicelayer.exe.delme153 c:\windows\svc.exe.delme150 c:\windows\svw.exe.delme154 c:\windows\svx.exe.delme155 c:\windows\system32\app_dll.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-27 au 2010-03-27 )))))))))))))))))))))))))))))))))))) . 2010-03-27 10:40 . 2010-03-27 10:40 -------- d-----w- c:\users\Public\AppData\Local emp 2010-03-27 10:40 . 2010-03-27 10:40 -------- d-----w- c:\users\Default\AppData\Local emp 2010-03-26 15:39 . 2010-03-26 18:17 -------- d-----w- c:\program files\SEAF 2010-03-24 20:53 . 2010-03-24 20:59 -------- d-----w- c:\program files\ZHPDiag 2010-03-24 20:05 . 2010-03-24 20:15 -------- d-----w- C:\Safius9136S 2010-03-24 20:03 . 2010-03-24 20:04 -------- d-----w- C:\Safius17104S 2010-03-20 21:17 . 2010-03-20 21:39 -------- d-----w- C:\Safius 2010-03-18 20:08 . 2010-03-20 17:19 -------- d---a-w- C:\Navilog1 2010-03-18 20:08 . 2010-03-20 17:09 -------- d-----w- c:\program files avilog1 2010-03-18 19:11 . 2010-03-18 19:13 -------- d-----w- C: sit 2010-03-18 19:11 . 2010-03-18 19:12 -------- d-----w- c:\program files rend micro 2010-03-18 17:33 . 2010-03-18 17:33 -------- d-----w- c:\programdata\WindowsSearch 2010-03-17 13:22 . 2010-03-17 13:22 -------- d-----w- c:\users\Safia\AppData\Roaming\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-17 13:21 . 2010-03-17 13:21 -------- d-----w- c:\programdata\Malwarebytes 2010-03-17 13:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-17 13:21 . 2010-03-17 13:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-03-15 19:38 . 2010-03-24 16:42 823296 ----a-w- c:\windows\system32\drivers frht.sys 2010-03-15 19:36 . 2010-03-15 19:36 -------- d-----w- c:\windows\Sun 2010-03-12 08:58 . 2010-02-20 23:39 24064 ----a-w- c:\windows\system32 shhttp.dll 2010-03-12 08:58 . 2010-02-20 21:18 411136 ----a-w- c:\windows\system32\drivers\http.sys 2010-03-12 08:58 . 2010-02-20 23:37 31232 ----a-w- c:\windows\system32\httpapi.dll 2010-03-11 17:49 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll 2010-03-09 11:23 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll 2010-03-09 11:23 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll 2010-03-09 09:19 . 2010-02-12 10:48 293376 ----a-w- c:\windows\system32\browserchoice.exe 2010-03-06 17:09 . 2009-12-08 20:52 3597912 ----a-w- c:\windows\system32 tkrnlpa.exe 2010-03-06 17:09 . 2009-12-08 20:52 3546200 ----a-w- c:\windows\system32 toskrnl.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-27 19:49 . 2008-08-27 06:55 669328 ----a-w- c:\windows\system32\perfh00C.dat 2010-03-27 19:49 . 2008-08-27 06:55 123350 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-27 10:39 . 2009-11-01 12:16 -------- d-----w- c:\program files\QuickTime 2010-03-26 18:15 . 2009-11-01 12:18 -------- d-----w- c:\program files\iTunes 2010-03-24 18:55 . 2009-02-05 19:05 1 ----a-w- c:\users\Safia\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-21 15:27 . 2008-08-26 21:54 -------- d-----w- c:\program files\EasyBits For Kids 2010-03-12 09:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-03-12 09:01 . 2009-02-05 18:45 -------- d-----w- c:\programdata\Microsoft Help 2010-03-09 21:19 . 2010-03-09 21:19 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-03-07 10:21 . 2008-08-26 21:54 588472 ----a-w- c:\windows\system32\ezsvc7x.dll 2010-02-25 10:55 . 2010-02-25 10:55 -------- d-----w- c:\programdata\HPSSUPPLY 2010-02-24 12:18 . 2009-02-01 14:17 84552 ----a-w- c:\users\Safia\AppData\Local\GDIPFONTCACHEV1.DAT 2010-02-24 09:16 . 2009-10-02 16:56 181632 ------w- c:\windows\system32\MpSigStub.exe 2010-01-25 12:48 . 2010-02-23 18:24 472576 ----a-w- c:\windows\system32\secproc_isv.dll 2010-01-25 12:48 . 2010-02-23 18:24 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-01-25 12:48 . 2010-02-23 18:24 151040 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-01-25 12:48 . 2010-02-23 18:24 472064 ----a-w- c:\windows\system32\secproc.dll 2010-01-25 12:45 . 2010-02-23 18:24 329216 ----a-w- c:\windows\system32\msdrm.dll 2010-01-25 08:35 . 2010-02-23 18:24 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-01-25 08:35 . 2010-02-23 18:24 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-01-25 08:34 . 2010-02-23 18:24 511488 ----a-w- c:\windows\system32\RMActivate.exe 2010-01-25 08:34 . 2010-02-23 18:24 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe 2010-01-23 09:44 . 2010-02-23 18:24 2048 ----a-w- c:\windows\system32 zres.dll 2009-12-28 12:35 . 2010-02-13 14:00 11776 ----a-w- c:\windows\system32 sbyuv.dll 2009-12-28 12:35 . 2010-02-13 14:00 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-28 12:32 . 2010-02-13 14:00 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-28 12:32 . 2010-02-13 14:00 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-28 12:32 . 2010-02-13 14:00 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-28 12:32 . 2010-02-13 14:00 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-28 12:31 . 2010-02-13 14:00 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-28 12:31 . 2010-02-13 14:00 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-28 12:28 . 2010-02-13 14:00 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-28 12:28 . 2010-02-13 14:00 65024 ----a-w- c:\windows\system32\avicap32.dll 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll 2008-08-27 07:10 . 2008-08-27 07:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT . [code]

 
c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe 
c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe 
c:\program files\HP\HP Software Update\hpwuschd2 .exe 
c:\program files\iTunes\ituneshelper .exe 
c:\program files\QuickTime\qttask    .exe 
c:\program files\Skype\Phone\skype .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2010-03-26 40448] "msnmsgr"="c:\program files\windows live\messenger\msnmsgr .exe" [N/A] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-26 40448] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "AdobeUpdater"="c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2009-02-02 2356088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2010-03-26 40448] "KBD"="c:\hp\KBD\KbdStub.EXE" [2010-03-26 40448] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13539872] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 92704] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [N/A] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2010-03-26 40448] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-03-26 40448] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-03-26 40448] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [N/A] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-26 40448] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544] c:\users\Safia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-17 108289] R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504] R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232] S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS etr73.sys [2008-02-26 493568] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - ECACHE [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . Contenu du dossier 'Tâches planifiées' 2010-03-27 c:\windows\Tasks\User_Feed_Synchronization-{1455DC82-9BD2-41F9-97CD-BAE51E24FB9D}.job - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt uInternet Settings,ProxyOverride = *.local IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar esources\fr-FR\local\search.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Safia\AppData\Roaming\Mozilla\Firefox\Profiles a8b2v9s.default\ FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\program files\ma-config.com phardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-27 21:45 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\helppane.exe . ************************************************************************** . Heure de fin: 2010-03-27 21:51:42 - La machine a redémarré ComboFix-quarantined-files.txt 2010-03-27 20:51 ComboFix2.txt 2010-03-24 20:15 ComboFix3.txt 2010-03-24 16:53 ComboFix4.txt 2010-03-20 21:39 Avant-CF: 242 505 474 048 octets libres Après-CF: 245 545 717 760 octets libres - - End Of File - - 176E1EB408DFF475EB7D98C2C7F3D478

sKe69 · Answer

Re,  


très bien si tu as retrouvé ton bureau ... Mais les nouvelles ne sont vraiment pas bonne du tout ...  

Il y a pas mal de fichiers infectés qui on pris la place de fichiers légitimes !  

le rootkit qui est surement à l'origine s'accroche également ....   


vraiment pas simple a régler cette histoire !  


Donc je vais sur le lien, et le lien qui m'est demandé d'analyser mène à dautre fichiers. Je dois analyser chaque fichier ?   


> oui fait le stp ....  




la dernière version de ZHPDiag dispo maintenant à subit des correctifs qui pourront peut-être nous permettre de sortir de cette mouise ...  


Donc désinstalle la version de ZHPDiag que tu as sur ton PC et on va reprendre avec la dernière version en ligne :  



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :  

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  


!! déconnecte toi et ferme toutes tes applications en cours !!   

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .   

> Lance ZHPDiag depuis le raccourci du bureau .  

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .  
( celui avec le tournevis )  

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .  

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .  


Laisses travailler l'outil ...  


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...  

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).  

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )  

Puis ferme le programme ...  


> rends toi ensuite sur ce site : http://www.cijoint.fr/  

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .  
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...  
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....  








"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Safius · Answer

J'ai analysé chaque fichier comme demandé pour Combofix. 

Voilà le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijuELiDrz.txt

sKe69 · Answer

bien   



la suite dans l'ordre :  



1- Utilisation de l'outil ZHPFix :  

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\hp\support\hpsysdrv.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\HP\KBD\KbdStub.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\Program Files\HP\HP Software Update\HPWuSchd2.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\iTunes\iTunesHelper.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Skype\Phone\Skype.exe   [40448]  
O44 - LFC:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers
frht.sys   [823296]  
O58 - SDL:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\drivers
frht.sys



Puis Lance ZHPFix depuis le raccouci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .   

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie :  
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  
- que les lignes soient disposées les unes en dessous des autres .  

* Puis clique sur le bouton [ OK ] .  
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .   

Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!  


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .  

* Enfin clique sur le bouton [ Nettoyer ] .  


-> laisse travailler l'outil et ne touche à rien ...  


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !  

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...  

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )  
   
 Pense à réactiver tes défenses !...   


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )  


==========================  

2- Utilisation de SystemLook  

 Double-clique sur "SystemLook.exe" pour lancer l'outil .  

-> Copies/colle le texte ci-dessous dans la fenêtre :  


:dir  
C:\hp\support  
C:\HP\KBD  
C:\Program Files\Java\jre1.6.0_07\bin  
C:\Program Files\HP\HP Software Update  
C:\Program Files\Adobe\Reader 8.0\Reader  
C:\Program Files\iTunes  
C:\Program Files\Hewlett-Packard\HP Advisor  
C:\program files\Hewlett-Packard\HP Health Check  
C:\Program Files\Skype\Phone  
C:\program files\QuickTime  
C:\program files\windows live\messenger
C:\Qoobox\Quarantine
C:\windows  


* Clique sur le bouton [Look] pour lancer l'examen .  

Laisse travailler ...  

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.   

-> Poste ce rapport via "Cijoint" dans ta prochaine réponse pour analyse ...  


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )  


==========================  


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...   


"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Safius · Answer

Au moment où je clique sur Nettoyage il y a un message d'erreur qui me dit :
"=1023==> Contacter Nicolas Coolman"
Je fais OK et ça continue  1024, 1025... jusque 1033. Là y a un nouveau message d'erreur : http://www.hostingpics.net/viewer.php?id=979448CAPTUURE.jpg

Impossible de faire le nettoyage donc ...

Safius · Answer

Par contre je vais devoir continuer demain ... Merci beaucoup.

sKe69 · Answer

re,


ré-essaye avec ce script alors :


[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\hp\support\hpsysdrv.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\HP\KBD\KbdStub.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe     
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\Program Files\HP\HP Software Update\HPWuSchd2.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe    
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\iTunes\iTunesHelper.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Skype\Phone\Skype.exe    
O44 - LFC:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers
frht.sys     
O58 - SDL:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\drivers
frht.sys

Safius · Answer

Re,
Ca me fait à nouveau la même chose ... Sauf que dans le message d'erreur final les chiffres et lettres sont différents.

sKe69 · Answer

bon ...  


ne pas oublier avec Vista > Clique droit/"executer en tant qu'admin..." 



ci cela ne va pas mieux ,  tu vas faire ceci à la place de ZHPFix ( et tu continuras le reste de la manipe après ) :  



1- Créer un doc texte sur ton bureau :   
* pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .   

* copie/colle tout le texte qui se trouve ci dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :  


drivers to unload:  
nfrht.sys  
nfrht  

Files to Delete:  
C:\Windows\System32\drivers
frht.sys  
C:\hp\support\hpsysdrv.exe     
C:\HP\KBD\KbdStub.exe     
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe       
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe     
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe      
C:\Program Files\iTunes\iTunesHelper.exe     
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe     
C:\Program Files\Skype\Phone\Skype.exe    

   

Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :   
Remove puis valide ... ( sauvegarde le bien sur le bureau )   



2- Télécharge The Avenger (de Swandog46) :   
> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/   

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!   


Dézippe le sur ton Bureau.   
* Clique droit/"executer en tant qu'admin..." sur l'exécutable puis fais "ok".   
* Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.   
* Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.   
* Clique sur le feu vert puis sur oui pour lancer le scan ...   
Le programme va te demander de redémarrer ton pc, accepte.   

> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et fait le reste de la manipe précédente...   





"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Safius · Answer

Mince j'suis bête, il suffisait que je l'éxecute en tant qu'administrateur ... Une fois le scan terminé j'suis allé cherché le fichier dans le lien que tu m'a donné, mais y avait rien :s Mais je suis bête au lieu de copier coller le rapport qui était sur ZHPFix j'ai refais un scan et cette fois j'ai le rapport :
Mais je vois bien que ça va pa t'aider, parce que c'est le premier scan qui est important, et je crois bien si je me souviens bien que les fichiers absents ont été supprimés ou mis en quarantaine ... Je suis vraiment désolée :s :s

Je passe quand même à la manip' avec System Look ?


ZHPFix v1.12.3081  by Nicolas Coolman - Rapport de suppression du 28/03/2010 11:26:01
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
c:\hp\support\hpsysdrv.exe  => Fichier absent
C:\HP\KBD\KbdStub.exe  => Fichier absent
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe  => Fichier absent
c:\Program Files\HP\HP Software Update\HPWuSchd2.exe  => Fichier absent
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Fichier absent
C:\Program Files\iTunes\iTunesHelper.exe  => Fichier absent
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe  => Fichier absent
C:\Program Files\Skype\Phone\Skype.exe  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\drivers
frht.sys  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 8
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

sKe69 · Answer

vu 



ne fait pas la manipe de The Avenger  et continue la manipe que j'avais donné ici > https://forums.commentcamarche.net/forum/affich-17041611-tres-gros-probleme-ordinateur-infecte?page=4#83


j'attends donc les rapports de SystemLook et de ZHPDiag ....

Safius · Answer

Voilà le rapport System Look : http://www.cijoint.fr/cjlink.php?file=cj201003/cijyJPiDOc.txt

Safius · Answer

Et le nouveau de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cij862a4XC.txt

sKe69 · Answer

et beh ...


c'est reparti pour un tour ...



dans l'ordre :


1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe   [40448]   [MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe   [40448]
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\program files\windows live\messenger\msnmsgr     .exe   [40448] 
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe   [40448]
O4 - HKCU\..\Run: [msnmsgr] . (.Pas de propriétaire - Pas de description.) -- C:\program files\windows live\messenger\msnmsgr     .exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] . (.Pas de propriétaire - Pas de description.) -- c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
O4 - HKCU\..\Run: [AdobeUpdater] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At1.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At10.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At11.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At12.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At13.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At14.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At15.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At16.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At17.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At18.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At19.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At2.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At20.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At21.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At22.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At23.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At24.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At25.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At26.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At27.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At28.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At29.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At3.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At30.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At31.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At32.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At33.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At34.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At35.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At36.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At37.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At38.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At39.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At4.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At40.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At41.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At42.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At43.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At44.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At45.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At46.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At47.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At48.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At5.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At6.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At7.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At8.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At9.job  
 


Puis Lance ZHPFix "en tant qu'admin ..." depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


==========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Safius · Answer

Rapport ZHPFix :

 ZHPFix v1.12.3081  by Nicolas Coolman - Rapport de suppression du 28/03/2010 18:44:02
Fichier d'export Registre : C:\ZHPExportRegistry-28-03-2010-18-44-02.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe   [40448]   [MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.)  => Fichier absent
C:\program files\windows live\messenger\msnmsgr     .exe   [40448]  => Supprimé et mis en quarantaine
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe   [40448]  => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKCU\..\Run: [msnmsgr] . (.Pas de propriétaire - Pas de description.) -- C:\program files\windows live\messenger\msnmsgr     .exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [HP Health Check Scheduler] . (.Pas de propriétaire - Pas de description.) -- c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Photo Downloader] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [AdobeUpdater] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\windows live\messenger\msnmsgr     .exe  => Fichier absent
c:\program files\hewlett-packard\hp health check\hphc_scheduler.exe  => Supprimé et mis en quarantaine
c:\program files\adobe\photoshop album edition découverte\3.2\apps\apdproxy.exe  => Supprimé et mis en quarantaine
c:\program files\common files\adobe\updater5\adobeupdater.exe  => Fichier absent
c:\windows	asks\at1.job  => Supprimé et mis en quarantaine
c:\windows	asks\at10.job  => Supprimé et mis en quarantaine
c:\windows	asks\at11.job  => Supprimé et mis en quarantaine
c:\windows	asks\at12.job  => Supprimé et mis en quarantaine
c:\windows	asks\at13.job  => Supprimé et mis en quarantaine
c:\windows	asks\at14.job  => Supprimé et mis en quarantaine
c:\windows	asks\at15.job  => Supprimé et mis en quarantaine
c:\windows	asks\at16.job  => Supprimé et mis en quarantaine
c:\windows	asks\at17.job  => Supprimé et mis en quarantaine
c:\windows	asks\at18.job  => Supprimé et mis en quarantaine
c:\windows	asks\at19.job  => Supprimé et mis en quarantaine
c:\windows	asks\at2.job  => Supprimé et mis en quarantaine
c:\windows	asks\at20.job  => Supprimé et mis en quarantaine
c:\windows	asks\at21.job  => Supprimé et mis en quarantaine
c:\windows	asks\at22.job  => Supprimé et mis en quarantaine
c:\windows	asks\at23.job  => Supprimé et mis en quarantaine
c:\windows	asks\at24.job  => Supprimé et mis en quarantaine
c:\windows	asks\at25.job  => Supprimé et mis en quarantaine
c:\windows	asks\at26.job  => Supprimé et mis en quarantaine
c:\windows	asks\at27.job  => Supprimé et mis en quarantaine
c:\windows	asks\at28.job  => Supprimé et mis en quarantaine
c:\windows	asks\at29.job  => Supprimé et mis en quarantaine
c:\windows	asks\at3.job  => Supprimé et mis en quarantaine
c:\windows	asks\at30.job  => Supprimé et mis en quarantaine
c:\windows	asks\at31.job  => Supprimé et mis en quarantaine
c:\windows	asks\at32.job  => Supprimé et mis en quarantaine
c:\windows	asks\at33.job  => Supprimé et mis en quarantaine
c:\windows	asks\at34.job  => Supprimé et mis en quarantaine
c:\windows	asks\at35.job  => Supprimé et mis en quarantaine
c:\windows	asks\at36.job  => Supprimé et mis en quarantaine
c:\windows	asks\at37.job  => Supprimé et mis en quarantaine
c:\windows	asks\at38.job  => Supprimé et mis en quarantaine
c:\windows	asks\at39.job  => Supprimé et mis en quarantaine
c:\windows	asks\at4.job  => Supprimé et mis en quarantaine
c:\windows	asks\at40.job  => Supprimé et mis en quarantaine
c:\windows	asks\at41.job  => Supprimé et mis en quarantaine
c:\windows	asks\at42.job  => Supprimé et mis en quarantaine
c:\windows	asks\at43.job  => Supprimé et mis en quarantaine
c:\windows	asks\at44.job  => Supprimé et mis en quarantaine
c:\windows	asks\at45.job  => Supprimé et mis en quarantaine
c:\windows	asks\at46.job  => Supprimé et mis en quarantaine
c:\windows	asks\at47.job  => Supprimé et mis en quarantaine
c:\windows	asks\at48.job  => Supprimé et mis en quarantaine
c:\windows	asks\at5.job  => Supprimé et mis en quarantaine
c:\windows	asks\at6.job  => Supprimé et mis en quarantaine
c:\windows	asks\at7.job  => Supprimé et mis en quarantaine
c:\windows	asks\at8.job  => Supprimé et mis en quarantaine
c:\windows	asks\at9.job  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 3
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 0
Fichier : 52
Logiciel : 0
Autre : 0


End of the scan

Safius · Answer

& le rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijRp5GgYF.txt

sKe69 · Answer

bien ... 


on continue .... dans l'ordre : 



1- Télécharge OTM (de Old_Timer) sur ton Bureau.  

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 

  
Clique droit / "executer en tant qu'admin ..." sur "OTM.exe" pour ouvrir le prg .  
Puis copie ce qui se trouve en citation ci-dessous, 
  

:Files 
C:\Windows\Tasks\At*.job 

:Commands 
[purity] 
[emptytemp] 
[Reboot] 


et colle le dans le cadre de gauche de OTM :  
Paste Instructions for items to be moved. 
(ne touche à rien d'autre !)  

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris ) 

-> clique sur MoveIt! pour lancer la suppression. 
-> laisse travailler l'outil ...  

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " . 

Ton PC va redémarrer de lui même pour finir la suppression ... 

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ). 

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"   
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ). 


======================= 

2- suprime la version de Navilog1 que tu as sur ton PC ainsi que le dossier de ce dernier présent dans "porgram files". 


puis reprends : 

Télécharge Navilog1 sur ton bureau :  

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !! 
   
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .  

Laisse-toi guider. Au menu principal, choisis 1 et valide .  
(ne fais pas le choix 2 notre avis/accord) . 

Patiente le temps du scan ... 

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) : 
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) . 

Note :  
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ). 
  

Patiente jusqu'au message :  
*** Scan Terminé le ..... ***  

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.  
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .  

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )  


==================== 

3- On va réutiliser Malwarebytes ainsi : 

mets le à jour ! ( onglet "mise à jour" ).  


! Déconnecte toi et ferme toutes applications en cours !  

* Lance Malwarebytes' . 

Fais un examen dit "RAPIDE" . 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).  
--> à la fin tu cliques sur "résultat" .  
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ... 


========================== 

4- on va réutiliser SystemLook


* Clique doit / "executer en tant qu'admin.." sur "SystemLook.exe" pour lancer l'outil . 

-> Copies/colle le texte ci-dessous dans la fenêtre : 


:dir 
c:\hp\support 
C:\HP\KBD 
c:\Program Files\HP\HP Software Update 
C:\Program Files\iTunes 
C:\Program Files\Windows Sidebar 
C:\Program Files\Hewlett-Packard\HP Advisor 
C:\Program Files\Skype\Phone 
C:\Windows\ehome 
C:\Program Files\Common Files\Apple\Mobile Device Support\bin 
C:\Program Files\Bonjour 
c:\Program Files\Hewlett-Packard\HP Health Check 
c:\Program Files\Common Files\LightScribe 
C:\Program Files\Java\jre1.6.0_07\bin  
C:\Program Files\Adobe\Reader 8.0\Reader  
c:\program files\Adobe 
c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps 
C:\program files\windows live\messenger 
C:\Windows\Tasks 


* Clique sur le bouton [Look] pour lancer l'examen . 

Laisse travailler ... 

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.  

-> Poste ce rapport dans ta prochaine réponse pour analyse ... 


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" ) 


========================= 

5- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

Rapport OTM :

All processes killed
========== FILES ==========
C:\Windows\Tasks\At1.job moved successfully.
C:\Windows\Tasks\At10.job moved successfully.
C:\Windows\Tasks\At11.job moved successfully.
C:\Windows\Tasks\At12.job moved successfully.
C:\Windows\Tasks\At13.job moved successfully.
C:\Windows\Tasks\At14.job moved successfully.
C:\Windows\Tasks\At15.job moved successfully.
C:\Windows\Tasks\At16.job moved successfully.
C:\Windows\Tasks\At17.job moved successfully.
C:\Windows\Tasks\At18.job moved successfully.
C:\Windows\Tasks\At19.job moved successfully.
C:\Windows\Tasks\At2.job moved successfully.
C:\Windows\Tasks\At20.job moved successfully.
C:\Windows\Tasks\At21.job moved successfully.
C:\Windows\Tasks\At22.job moved successfully.
C:\Windows\Tasks\At23.job moved successfully.
C:\Windows\Tasks\At24.job moved successfully.
C:\Windows\Tasks\At3.job moved successfully.
C:\Windows\Tasks\At4.job moved successfully.
C:\Windows\Tasks\At5.job moved successfully.
C:\Windows\Tasks\At6.job moved successfully.
C:\Windows\Tasks\At7.job moved successfully.
C:\Windows\Tasks\At8.job moved successfully.
C:\Windows\Tasks\At9.job moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Safia
->Temp folder emptied: 721020 bytes
->Temporary Internet Files folder emptied: 162251930 bytes
->Java cache emptied: 2977839 bytes
->FireFox cache emptied: 79124512 bytes
->Apple Safari cache emptied: 108183 bytes
->Flash cache emptied: 16067 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4215395 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 14570628 bytes
RecycleBin emptied: 63971 bytes
 
Total Files Cleaned = 252,00 mb
 
 
OTM by OldTimer - Version 3.1.10.1 log created on 03282010_200620

Files moved on Reboot...
File C:\Windows	emp\TMP000000479F9892540414B68D not found!
File C:\Windows	emp\TMP00000048E1B68B836DD6A48A not found!
File C:\Windows	emp\TMP0000004958B146277647E5C6 not found!
File C:\Windows	emp\TMP0000004ABE6888ED5F57336F not found!
File C:\Windows	emp\TMP0000004B3D02CC9F79E31284 not found!
File C:\Windows	emp\TMP0000004C34F5A4A89B2DC27E not found!
File C:\Windows	emp\TMP0000004D050D3C816EFC88D5 not found!
File C:\Windows	emp\TMP00000058FAB9D6522BA4C5AB not found!

Registry entries deleted on Reboot...

Safius · Answer

Rapport Navilog :

Fix Navipromo version 4.0.8 commencé le 28/03/2010 20:17:21,61

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Safia ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:322 Go (Free:226 Go)
D:\ (Local Disk) - NTFS - Total:12 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\Safia\AppData\Local\egeiq.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Safia\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 28/03/2010 20:19:34,15 ***

Safius · Answer

Rapport Malware :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3923
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

28/03/2010 20:38:17
mbam-log-2010-03-28 (20-38-17).txt

Type de recherche: Examen rapide
Eléments examinés: 110270
Temps écoulé: 3 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\js.mui (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Adobe\acrotray .exe (Trojan.Agent) -> Quarantined and deleted successfully.

Safius · Answer

Rapport Systemlook :

http://www.cijoint.fr/cjlink.php?file=cj201003/cij4rjWiG4.txt

Safius · Answer

& enfin rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijL1xuDWf.txt

sKe69 · Answer

re, 


quelle galère ... ^^' 


1- supprime manuellement ce récalcitrant : 

c:\Program Files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe 

( celui qui fait 40 Ko ! ) 


Puis vide ta corbeille ... 


========================= 

Une salté qui avais été supprimé par Combo au début vient de réapparaitre avec MBAM ... c'est pas bon .... donc fait ceci : 


2-  Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :  

http://www2.gmer.net/gmer.zip 
  
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!! 


* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil . 
* Mets toi bien sur l'onglet "rootkit", puis clique sur scan. 

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )  

* A la fin du scan, clique sur le bouton copy.  
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver ....  

> poste le rapport stp ... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

Re !
Quand je veux supprimer le fichier manuellement, il y a un message d'erreur qui me dit que je ne dispose pas d'autorisation pour faire ça ...

sKe69 · Answer

hello,


m'étoone pas ... ^^


fait ceci donc :


Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : 

http://www2.gmer.net/gmer.zip
 
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit".
* A droite, coche seulement Files, Services & Registry. 
* puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... ) 

* A la fin du scan, clique sur le bouton copy. 
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver .... 

> poste le rapport stp ...

Safius · Answer

Re ! Désolé de ne le poster que maintenant mais j'ai fais heir deux scans qui en fait n'était pas bon -_-
Voilà voilà :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-30 20:02:50
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Safia\AppData\Local\Temp\uwtdqpob.sys


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At1.job.fp   1693588730
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At2.job.fp   724527173
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At3.job.fp   -109234333
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At4.job.fp   150884474
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At5.job.fp   -550178001
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At6.job.fp   929281339
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At7.job.fp   1166162570
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At8.job.fp   1190653301
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At9.job.fp   2047655833
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At10.job.fp  -1153191194
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At11.job.fp  2030028296
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At12.job.fp  1358023274
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At13.job.fp  -735061449
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At14.job.fp  1261652178
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At15.job.fp  31139800
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At16.job.fp  1246155721
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At17.job.fp  -98295373
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At18.job.fp  -1763669501
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At19.job.fp  250720036
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At20.job.fp  -180111907
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At21.job.fp  -241917349
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At22.job.fp  -535199419
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At23.job.fp  -2126454049
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At24.job.fp  -2098650856

---- EOF - GMER 1.0.15 ----

sKe69 · Answer

hello,


compliquer cette histoire ... 


suffit d'oublier un fichier infecteixu et tout repart ... 


refait un Combofix stp ... ( si l'outil te demande de se mettre à jour , accepte )


poste moi le nouveau rapport obtenu via Cijoint ! ( Important )

Safius · Answer

Désolé de ne rep' que maintenant mais l'ordi était d'une lenteuur pas croyable. Je l'ai laissé se reposer un peu & là ça va mieux.
Voilà le rapport de Combofix : http://www.cijoint.fr/cjlink.php?file=cj201003/cijSPLiySS.txt

sKe69 · Answer

Re,



on y retourne :




1- Créer un doc texte sur ton bureau: 
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > http://www.cijoint.fr/cj201003/cij1DkF9nZ.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le via "Cijoint" pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Safius · Answer

Voilàà : http://www.cijoint.fr/cjlink.php?file=cj201003/cijCEG71WY.txt

sKe69 · Answer

re,


C'est déjà mieux ... mais cette salté s'accroche ...


tu vas reprendre la manipe précédente avec ce nouveau script :

> http://www.cijoint.fr/cj201003/cijS1HSrg3.txt


poste moi le nouveau rapport ComboFix obtenue via "Cijoint" et attends la suite ...

Safius · Answer

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201003/cijycDXiFR.txt

sKe69 · Answer

on y est presque ... !


reprends avec ce script : http://www.cijoint.fr/cj201003/cijfsle4jC.txt


poste le nouveau rapport Combo via Cijoint stp ...

Safius · Answer

Ok, bonnes nouvelles alors :)

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201003/cijURCJ0yz.txt

damiens1026 · Answer

avast en version gratuite va aussi très bien, mais il faut le télécharger et l'enregistrer

sKe69 · Answer

bon ...


y en reste ( pas beaucoup et cela ne ré-apparait pas pour le moment ^^) ... n'éteint surtout pas le PC ! 


avant de faire un nouveau script , il faut que tu m'analyses deux fichiers sur VirusTotal > https://www.virustotal.com/gui/ 

tu m'analyses ces deux fichiers :

c:\hp\support\hpsysdrv .DAT

et

c:\hp\support\hpsysdrv.dat

poste les deux rapport obtenu et attends la suite ...

Safius · Answer

Pour c:\hp\support\hpsysdrv .DAT 


Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.31	-
AhnLab-V3	5.0.0.2	2010.03.31	-
AntiVir	7.10.6.10	2010.03.31	-
Antiy-AVL	2.0.3.7	2010.03.31	-
Authentium	5.2.0.5	2010.03.31	-
Avast	4.8.1351.0	2010.03.31	-
Avast5	5.0.332.0	2010.03.31	-
AVG	9.0.0.787	2010.03.31	-
BitDefender	7.2	2010.03.31	-
CAT-QuickHeal	10.00	2010.03.31	-
ClamAV	0.96.0.0-git	2010.03.31	-
Comodo	4451	2010.03.31	-
DrWeb	5.0.2.03300	2010.03.31	-
eSafe	7.0.17.0	2010.03.31	-
eTrust-Vet	35.2.7400	2010.03.31	-
F-Prot	4.5.1.85	2010.03.31	-
F-Secure	9.0.15370.0	2010.03.31	-
Fortinet	4.0.14.0	2010.03.30	-
GData	19	2010.03.31	-
Ikarus	T3.1.1.80.0	2010.03.31	-
Jiangmin	13.0.900	2010.03.31	-
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.31	-
McAfee	5937	2010.03.31	-
McAfee+Artemis	5937	2010.03.31	-
McAfee-GW-Edition	6.8.5	2010.03.31	-
Microsoft	1.5605	2010.03.31	-
NOD32	4989	2010.03.31	-
Norman	6.04.10	2010.03.31	-
nProtect	2009.1.8.0	2010.03.31	-
Panda	10.0.2.2	2010.03.31	-
PCTools	7.0.3.5	2010.03.31	-
Prevx	3.0	2010.03.31	-
Rising	22.41.02.02	2010.03.31	-
Sophos	4.52.0	2010.03.31	-
Sunbelt	6121	2010.03.31	-
Symantec	20091.2.0.41	2010.03.31	-
TheHacker	6.5.2.0.248	2010.03.31	-
TrendMicro	9.120.0.1004	2010.03.31	-
VBA32	3.12.12.4	2010.03.31	-
ViRobot	2010.3.31.2254	2010.03.31	-
VirusBuster	5.0.27.0	2010.03.31	-
Information additionnelle
File size: 180 bytes
MD5...: 30908fa1ee93e61b5c7450d504a220fb
SHA1..: ff61a3e85e18383b04922f7da5f717970eb2f7cc
SHA256: 9664b8f52a04e256842d642e6f801d7067c2d60c2f6dad84e7bbc48282507948
ssdeep: 3:hhhvqWR4yUPLcwd9eRK00RcUjEf6+wUsWdxU7M16spRUwK1Wyn:1vtRIPLcwd9
OKVRlwfzhsoU7M16s/Uw6
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Safius · Answer

& pour l'autre :

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.03.31	-
AhnLab-V3	5.0.0.2	2010.03.31	-
AntiVir	7.10.6.10	2010.03.31	-
Antiy-AVL	2.0.3.7	2010.03.31	-
Authentium	5.2.0.5	2010.03.31	-
Avast	4.8.1351.0	2010.03.31	-
Avast5	5.0.332.0	2010.03.31	-
AVG	9.0.0.787	2010.03.31	-
BitDefender	7.2	2010.03.31	-
CAT-QuickHeal	10.00	2010.03.31	-
ClamAV	0.96.0.0-git	2010.03.31	-
Comodo	4451	2010.03.31	-
DrWeb	5.0.2.03300	2010.03.31	-
eSafe	7.0.17.0	2010.03.31	-
eTrust-Vet	35.2.7400	2010.03.31	-
F-Prot	4.5.1.85	2010.03.31	-
F-Secure	9.0.15370.0	2010.03.31	-
Fortinet	4.0.14.0	2010.03.30	-
GData	19	2010.03.31	-
Ikarus	T3.1.1.80.0	2010.03.31	-
Jiangmin	13.0.900	2010.03.31	-
K7AntiVirus	7.10.1004	2010.03.22	-
Kaspersky	7.0.0.125	2010.03.31	-
McAfee	5937	2010.03.31	-
McAfee+Artemis	5937	2010.03.31	-
McAfee-GW-Edition	6.8.5	2010.03.31	-
Microsoft	1.5605	2010.03.31	-
NOD32	4989	2010.03.31	-
Norman	6.04.10	2010.03.31	-
nProtect	2009.1.8.0	2010.03.31	-
Panda	10.0.2.2	2010.03.31	-
PCTools	7.0.3.5	2010.03.31	-
Prevx	3.0	2010.03.31	-
Rising	22.41.02.02	2010.03.31	-
Sophos	4.52.0	2010.03.31	-
Sunbelt	6121	2010.03.31	-
Symantec	20091.2.0.41	2010.03.31	-
TheHacker	6.5.2.0.248	2010.03.31	-
TrendMicro	9.120.0.1004	2010.03.31	-
VBA32	3.12.12.4	2010.03.31	-
ViRobot	2010.3.31.2254	2010.03.31	-
VirusBuster	5.0.27.0	2010.03.31	-
Information additionnelle
File size: 185 bytes
MD5...: fe34780dfcb2db0c1b01b225e8cfe8dc
SHA1..: 03f62d2db63e7d075c7fea9a1d400cf2c9d5aa88
SHA256: 72e51530c4b9f6b72b7b366b66513264e17934290a0abcd64ef023b4e9826945
ssdeep: 3:hhhvOQ25RW4yUKzMbeR+ZzwUJfNbJ4vEWTQudyR+PRddLBWyn:1v6WIKwbO+Zz
hJfNbJiEWZyURcy
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

c'est propre mais cela reste louche quand même ... ^^


donc refait la manipe de Combo avec ce nouveau script : 
http://www.cijoint.fr/cj201003/cijlH0bYKa.txt


Poste le nouveau rapport obtenu via "Cijoint" et attends la suite ...

Safius · Answer

Voilàà : http://www.cijoint.fr/cjlink.php?file=cj201003/cije6BYNZ3.txt

Par contre je continue à recevoir une alerte d'Avira, mais plus qu'une seule maintenant, elle revient à chaque fois.

sKe69 · Answer

Bon ... 


Par contre je continue à recevoir une alerte d'Avira, mais plus qu'une seule maintenant, elle revient à chaque fois. 


précise de quoi il s'agit exactement stp ... et montre moi une copie d'écran de l'alerte  

( regarde cette astuce pour le faire > https://www.commentcamarche.net/informatique/windows/149-faire-des-captures-d-ecran-avec-windows-10/ ) 


Il y a quelque chose de louche encore ... 


analyse ceci sur VirusTotal : 

c:\program files\QuickTime\QTSystem\QuickTimeMusic.Resources\da.lproj\QuickTimeMusicLocalized.qtr


poste le rapport obtenu et attendss la suite ... ( n'éteinds surtout pas le PC ! ) 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

http://www.hostingpics.net/viewer.php?id=729805AVIRA.jpg

Maintenant j'en ai 2.

Safius · Answer

Voilà, malheureusement je vais devoir passer à la suite demain ... Merci encore :)

Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.03.31 	-
AhnLab-V3 	5.0.0.2 	2010.03.31 	-
AntiVir 	7.10.6.10 	2010.03.31 	-
Antiy-AVL 	2.0.3.7 	2010.03.31 	-
Authentium 	5.2.0.5 	2010.03.31 	-
Avast 	4.8.1351.0 	2010.03.31 	-
Avast5 	5.0.332.0 	2010.03.31 	-
AVG 	9.0.0.787 	2010.03.31 	-
BitDefender 	7.2 	2010.03.31 	-
CAT-QuickHeal 	10.00 	2010.03.31 	-
ClamAV 	0.96.0.0-git 	2010.03.31 	-
Comodo 	4451 	2010.03.31 	-
DrWeb 	5.0.2.03300 	2010.03.31 	-
eTrust-Vet 	35.2.7400 	2010.03.31 	-
F-Prot 	4.5.1.85 	2010.03.31 	-
F-Secure 	9.0.15370.0 	2010.03.31 	-
Fortinet 	4.0.14.0 	2010.03.30 	-
GData 	19 	2010.03.31 	-
Ikarus 	T3.1.1.80.0 	2010.03.31 	-
Jiangmin 	13.0.900 	2010.03.31 	-
K7AntiVirus 	7.10.1004 	2010.03.22 	-
Kaspersky 	7.0.0.125 	2010.03.31 	-
McAfee 	5937 	2010.03.31 	-
McAfee+Artemis 	5937 	2010.03.31 	-
McAfee-GW-Edition 	6.8.5 	2010.03.31 	-
Microsoft 	1.5605 	2010.03.31 	-
NOD32 	4989 	2010.03.31 	-
Norman 	6.04.10 	2010.03.31 	-
nProtect 	2009.1.8.0 	2010.03.31 	-
Panda 	10.0.2.2 	2010.03.31 	-
PCTools 	7.0.3.5 	2010.03.31 	-
Prevx 	3.0 	2010.03.31 	-
Rising 	22.41.02.02 	2010.03.31 	-
Sophos 	4.52.0 	2010.03.31 	-
Sunbelt 	6121 	2010.03.31 	-
Symantec 	20091.2.0.41 	2010.03.31 	-
TheHacker 	6.5.2.0.248 	2010.03.31 	-
TrendMicro 	9.120.0.1004 	2010.03.31 	-
VBA32 	3.12.12.4 	2010.03.31 	-
ViRobot 	2010.3.31.2254 	2010.03.31 	-
VirusBuster 	5.0.27.0 	2010.03.31 	-
Information additionnelle
File size: 40448 bytes
MD5   : b0ffdff85f1a73b5c7a1a7da151950d3
SHA1  : cfac14435e3321653b3d6c7f21818f6a15868296
SHA256: c92d4e31c9879a9706314554e3fe904dacc3e6aa83bcde940e3581fa4b9e3baa
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x4A82BEF0 (Wed Aug 12 15:09:04 2009)
machinetype.......: 0x14C (Intel I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x404 0x600 4.18 228643eb44f2672cdf64f787d3c10c5c
.reloc 0x2000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )


( 0 exports )
TrID  : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 384:fnyBWbJ/i1kucoUjcz3Ns3n1zun1HUEJS1lcz8mn3B:fnyBW/uJUI7g1zu10Eyc8mR
sigcheck: publisher....: Apple Inc.
copyright....: Copyright Apple Inc. 1989-2009
product......: QuickTime
description..: QuickTime Resource File
original name: QuickTimeResources
internal name: QuickTimeResources
file version.: 7.6.4
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set
-

sKe69 · Answer

malheureusement je vais devoir passer à la suite demain ... 

non pas de suite stp ! 


t'es encore là c'est important ! ... ? 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

sKe69 · Answer

re,

ce serait bien que tu faces ceci avant d'éteindre ton PC pour ce soir :

refais la manipe de ComboFix avec ce nouveau script > http://www.cijoint.fr/cj201003/cijQ5odlhn.txt


Poste le new rapport obtenu pour analyse ....

Safius · Answer

OK j'le fais :)

Safius · Answer

http://www.cijoint.fr/cjlink.php?file=cj201003/cijzkoUTJA.txt  

Voilà, je peux partir ?

sKe69 · Answer

c'est Ok .... ^^



la suite pour demain , dans l'ordre :





1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 



=========================

2- On va ré-utiliser Malwarebytes ainsi :

mets le à jour !. 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et fais la suite ... 


==========================

4- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Safius · Answer

Re, voilà pour Malwayre :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

01/04/2010 19:04:32
mbam-log-2010-04-01 (19-04-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 103461
Temps écoulé: 3 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Safius · Answer

Voilà le nouveau ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201004/cijD7Ah2Jd.txt

Safius · Answer

& enfin USB fix : 
############################## | UsbFix V6.100 |

User : Safia (Administrateurs) # PC-DE-SAFIA
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:23:46 | 01/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 322,95 Go (226,49 Go free) [HP] # NTFS
D:\ -> Disque fixe local # 12,4 Go (1,7 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 7,46 Go (2,11 Go free) [SAPHYA'S IP] # FAT32

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.100 ! |

sKe69 · Answer

hello,

cela sent nettement meilleur maintenant ...^^



la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Clique droit /"executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


======================

2- Refais un scan ZHPDiag.

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" > 15 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Safius · Answer

Pour USBFix : il me demande d'envoyer un fichier, mais je n'y arrive pas, ça me met : Les fichiers avec l'extension ne peuvent pas être uploadés !
Voilà le rapport :


############################## | UsbFix V6.100 |

User : Safia (Administrateurs) # PC-DE-SAFIA
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:09:02 | 01/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 322,95 Go (226,27 Go free) [HP] # NTFS
D:\ -> Disque fixe local # 12,4 Go (1,7 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 7,46 Go (2,11 Go free) [SAPHYA'S IP] # FAT32

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-3401549029-2948500744-760845060-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1107729293-1374532846-2533309393-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1260776013-3015405510-3463977521-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1260776013-3015405510-3463977521-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3401549029-2948500744-760845060-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3401549029-2948500744-760845060-500 

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[26/08/2008 23:42|--a------|74] C:\autoexec.bat 
[21/01/2008 04:24|-rahs----|333203] C:\bootmgr 
[27/08/2008 08:56|-ra-s----|8192] C:\BOOTSECT.BAK 
[28/03/2010 20:19|--a------|1209] C:\cleannavi.txt 
[31/03/2010 23:06|--a------|624967] C:\ComboFix.txt 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[23/02/2009 22:07|-rahs----|0] C:\IO.SYS 
[01/04/2010 19:00|--a------|127] C:\mbam-error.txt 
[23/02/2009 22:07|-rahs----|0] C:\MSDOS.SYS 
[29/02/2004 17:44|--a------|52576] C:\orange.bmp 
[?|?|?] C:\pagefile.sys 
[20/03/2010 19:06|--a------|431] C:\rkill.log 
[26/03/2010 20:17|--a------|1986] C:\SEAFlog.txt 
[26/03/2010 20:17|--a------|1743] C:\TmpSeaf.txt 
[01/04/2010 20:14|--a------|2342] C:\UsbFix.txt 
[28/03/2010 18:44|--a------|9020] C:\ZHPExportRegistry-28-03-2010-18-44-02.txt 
[22/06/2007 18:44|---hs----|438328] D:\boo.mgr 
[19/01/2008 00:45|---hs----|333203] D:\bootmgr 
[28/03/2008 20:54|--ahs----|1242] D:\Desktop.ini 
[22/11/2009 22:13|--ahs----|167] D:\MASTER.LOG 
[03/06/2008 15:19|--ahs----|422] D:\pcdr.ini 
[19/06/2007 17:22|---hs----|182323] D:\protect.arabic 
[19/06/2007 17:22|---hs----|181572] D:\protect.catalan 
[19/06/2007 17:22|---hs----|181898] D:\protect.chinese hong kong 
[19/06/2007 17:22|---hs----|181916] D:\protect.chinese simplified 
[19/06/2007 17:22|---hs----|181898] D:\protect.chinese traditional 
[04/07/2007 13:31|---hs----|181735] D:\protect.czech 
[19/06/2007 17:22|---hs----|181680] D:\protect.danish 
[19/06/2007 17:22|---hs----|181605] D:\protect.dutch 
[19/06/2007 17:22|---hs----|181648] D:\protect.english 
[19/06/2007 17:22|---hs----|181648] D:\protect.finnish 
[19/06/2007 17:22|---hs----|181616] D:\protect.french 
[19/06/2007 17:22|---hs----|181650] D:\protect.german 
[04/07/2007 13:33|---hs----|182717] D:\protect.greek 
[04/07/2007 13:36|---hs----|182626] D:\protect.hebrew 
[19/06/2007 17:22|---hs----|181535] D:\protect.italian 
[19/06/2007 17:22|---hs----|182351] D:\protect.japanese 
[19/06/2007 17:22|---hs----|182043] D:\protect.korean 
[04/07/2007 13:39|---hs----|181562] D:\protect.norwegian 
[04/07/2007 13:39|---hs----|181741] D:\protect.polish 
[04/07/2007 13:40|---hs----|181617] D:\protect.portuguese 
[04/07/2007 13:40|---hs----|181866] D:\protect.portuguese brazilian 
[19/06/2007 17:22|---hs----|211936] D:\protect.russian 
[05/07/2007 12:32|---hs----|181959] D:\protect.serbian latin 
[04/07/2007 13:46|---hs----|181954] D:\protect.slovak 
[19/06/2007 17:22|---hs----|181572] D:\protect.spanish 
[04/07/2007 13:43|---hs----|181605] D:\protect.swedish 
[04/07/2007 13:44|---hs----|181829] D:\protect.turkish 
[27/08/2008 11:02|---hs----|44] D:\RESTORE.INI 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Safia.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.100 ! |

sKe69 · Answer

re,

il me demande d'envoyer un fichier, mais je n'y arrive pas, ça me met : Les fichiers avec l'extension ne peuvent pas être uploadés ! 

laisse tomber , c'est pas bien grave ...


la suite donc ... ZHPDiag ...

Safius · Answer

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201004/cij3XZu30L.txt

sKe69 · Answer

impec .... 



dis moi comment va le PC maintenant .... du mieux ? 



puis fais ceci : 



1- Télécharge DDS de sUBs sur ton bureau. 

https://download.bleepingcomputer.com/sUBs/dds.scr 

( L'outil ne nécessite pas d'installation.) 


* Lance-le en cliquant droit / "executer en tant qu'admin..." sur l'icône dds.scr qui est sur ton bureau . 

-> Une fenêtre DOS va apparaitre , cela signifie que le scan est en cours ... 

laisse faire et ne touche à rien .... 

( Le scan ne doit pas dépasser trois minutes.) 

* Un premier rapport va s'ouvrir que tu enregistreras sous " DDS.txt " par défaut sur le bureau. 

Puis il te sera demandé si tu veux faire le scan optionnel. 
--> Accepte par "Oui" ! 

Un nouveau rapport s'ouvre que tu enregistres sous "Attach.txt" sur le bureau. 
( Tu ne le fourniras que si nécessaire.) 

-> Poste le rapport DDS.txt pour analyse ....  


====================== 

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Safius · Answer

DDS : http://www.cijoint.fr/cjlink.php?file=cj201004/cijirfpmrX.txt

Safius · Answer

Au fait, mon ordi va beacoup, beaucoup mieux ... Il n'est vraiment plus lent, et je n'ai plus d'alertes ! Merci, mercin merci :)

Ad-Remover : 

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:54:24 le 01/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
Nom du PC: PC-DE-SAFIA | Utilisateur actuel: Safia (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.2pre (fr) *
.
C:\Users\Safia\..a8b2v9s.default\prefs.js - browser.download.dir: C:\Users\Safia\Downloads
C:\Users\Safia\..a8b2v9s.default\prefs.js - browser.download.lastDir: C:\Users\Safia\Pictures\INSPIRATION
C:\Users\Safia\..a8b2v9s.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
.
.
* Internet Explorer Version 7.0.6001.18000 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\Safia\AppData\Local\Temp: 12 Fichier(s), 7 Dossier(s)
C:\Windows	emp: 2 Fichier(s), 0 Dossier(s)
C:\Users\Safia\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 8 Fichier(s), 4 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 2228 Octet(s)
.
Fin à: 20:58:38, 01/04/2010
.
============== E.O.F - SCAN[1] ==============

sKe69 · Answer

bon ,


c'est clean de ce côté là ... relance Ad-R et clique sur le bouton "Désinstaller" ...

Supprime DDS et les rapport qu'il a fournis ....



fait ce qui suit dans l'ordre ( si le denier rapport est clean , on pourra finaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 
-> Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C )  , valide, applique et OK 
Redémarre ton PC ...
 
-> Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK 
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) 

=====================

5-On va utiliser AntiVir :

mets le à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/



Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************



Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 

> poste moi le rapport obtenu ... Aide toi bien du tuto ;)

Safius · Answer

Je vais vider la quarantaine et passer à la suite.


ZHPFix v1.12.3081  by Nicolas Coolman - Rapport de suppression du 01/04/2010 21:35:08
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\SEAF  => Supprimé et mis en quarantaine
C:\rsit  => Supprimé et mis en quarantaine
C:\UsbFix  => Fichier supprimé au reboot

Fichier :
c:\users\safia\desktop\gmer.exe  => Supprimé et mis en quarantaine
c:\usbfix.txt  => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: HijackThis 2.0.2  => Logiciel supprimé avec succès
O63 - Logiciel: SEAF By C_XX  => Logiciel supprimé avec succès
O63 - Logiciel: Gmer (Gmer)  => Logiciel supprimé avec succès
O63 - Logiciel: RSIT - (random/random)  => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix - (El Desaparecido)  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 3
Fichier : 2
Logiciel : 5
Autre : 0


End of the scan

sKe69 · Answer

supprime également ComboFix en faisant ainsi :


Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne : 

ComboFix /uninstall 

( laisse l'espace entre "Combofix" et "/uninstall" ) 

-> Valide .

Safius · Answer

J'ai tout bien fait pour le réglage, mais avant de lancer le scan je voulais savoir il dure combien de temps à peu près ? Parce que si c'est trop long je le ferai demain en fin d'aprem ...

Safius · Answer

Je ferai ça demain ;)

Safius · Answer

Re !
Voilà le rapport Avira : http://www.cijoint.fr/cjlink.php?file=cj201004/cijRVKBbiV.txt

sKe69 · Answer

hello,  

AntiVir à pauffiner le nettoyage ....  


Pour être sur que l'infection ne soit pas reparti , refais un scan ZHPDiag.  

* coche bien toutes les options ( sauf la 045 et 061 ),   

* au niveau du bouton "calendrier" > 15 days  

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...   


"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Safius · Answer

& voilà : http://www.cijoint.fr/cjlink.php?file=cj201004/cijRdCGrdm.txt

sKe69 · Answer

bien ....



on finalise dans l'ordre :


1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 19
Version Adobe Reader à jour > v 9.3.1


* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions 
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


=========================

2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" : 
-> fais toutes les mises à jour disponibles, surtout les dites "critiques" et "importantes" ( Vista SP2 , Internet Exporer 8, ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

-> il faudra sûrement recommencer l'opération plusieurs fois pour que tout soit fait !

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note : 
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


=========================

3- Une fois tout ceci fait, utilise Hijackthis ainsi :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

Safius · Answer

Voilà le rapport HiJAck :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:30, on 02/04/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32undll32.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\ituneshelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Advisor\hpadvisor.exe
C:\Program Files\Skype\Phone\skype.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Windows\system32\msfeedssync.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files	rend micro\HijackThis\HijackThis.exe
C:\Windows\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe" -delete
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbaresources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe

sKe69 · Answer

re,


la suite :


1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU) 


Tu cliques en bas sur le bouton FIX CHECKED et valides .




2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC, tes applications, ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

> Poste aussi un dernier rapport Hijackthis de contrôle ...

Safius · Answer

Tout va bien :)

Voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:23, on 03/04/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32undll32.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Advisor\hpadvisor.exe
C:\Program Files\Skype\Phone\skype.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files	rend micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe" -delete
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbaresources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe

sKe69 · Answer

oki.... suite et fin dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur" pour le lancer. * Clique sur Recherche et laisse le scan se terminer (cela peut être long). * Clique sur Suppression pour finaliser. * Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ===================== 2- Refais un coup de CCleaner ( registre compris ) . ===================== 3- Fais ce check-up pour finir : A-Re-purge la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Safius · Answer

Voilà le rapport ToolsCleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\_OTM: trouvé !
C:\Navilog1: trouvé !
C:\UsbFix: trouvé !
C:\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Safia\Desktop\HijackThis.lnk: trouvé !
C:\Users\Safia\Desktop\Navilog1.exe: trouvé !
C:\Users\Safia\Downloads\OTM.exe: trouvé !
C:\Users\Safia\Downloads\HJTInstall.exe: trouvé !
C:\Users\Safia\Downloads\UsbFix.exe: trouvé !
C:\Users\Safia\Downloads\Rsit.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Navilog1\Navilog1.bat: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Safia\Desktop\HijackThis.lnk: supprimé !
C:\Users\Safia\Desktop\Navilog1.exe: supprimé !
C:\Users\Safia\Downloads\OTM.exe: supprimé !
C:\Users\Safia\Downloads\HJTInstall.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Safia\Downloads\UsbFix.exe: supprimé !
C:\Users\Safia\Downloads\Rsit.exe: supprimé !
C:\_OTM: supprimé !
C:\Navilog1: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !

Safius · Answer

Pour le 3., est-ce que je dois refaire ce que j'avais fais en décochant le lecteur C ? Parce que le protocole qui est décrit là ne correspond  pas à Windows Vista, donc je peux pas le faire :s

sKe69 · Answer

effectivement , je me suis trompé .... ^^' voilà le bon check-up : A-Re-purge la restauration système --->Désactive ta restauration : Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK Redémarres ton PC ... --->Réactive ta restauration : Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK Redémarre ton PC ... ( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques * Nettoyage Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques durs ... * Vérifications des erreurs Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" . clique sur "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -"réparer automatiquement les erreurs..." -"rechercher et tenter une récupération..." Démarrer, ok s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal . Tu le fais pour chacun de tes disques ... Ensuite toujours dans le même onglet tu choisis : * Défragmentation "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus d'une dix heure dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - pour créer un point de restauration cliques sur : "ouvrer protection système" . -->dans cette nouvelle fenêtre Cliquer en bas à gauche sur " créer " . - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =) "Baby, I'm going on an airplane, And I don't know if I'll be back again" IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne vous l'a pas dit !

Safius · Answer

Avant de faire une bêtise je préfère demander, donc quand il me demande ça :
http://www.hostingpics.net/viewer.php?id=243620Capture.jpg
Je dois tout cocher ?

Safius · Answer

Désolé de ne répondre que maintenant, mais ce week end je n'avais pas eu le temps. Pour la défragmentation, après l'analyse ça m'a mis : "Les performances de votre système de fichiers sont bonne. Il n'est pas nécessaire de les défragmenter." Donc pas la peine ?

Safius · Answer

RE, donc pour l'ordi tout va bien : connexion, vitesse, etc. MERCI MERCI :D
Le seul petit problème mais je sais pas si t'y peux quelque chose c'est qu'au démarrage j'ai ça : http://www.hostingpics.net/viewer.php?id=39600BugHP.jpg
Mais il suffit que je mette OK pour que ça disparaisse.
En tout cas, je n'avais pas cette fenêtre avant que j'ai le virus ..

sKe69 · Answer

hello,


il y a quelques dégats apparemment ...



faudrait désinstaller et réinstaller si possible " HP Photosmart Essential 3.0 " 

il était surement déjà installer lors de l'achat du PC / ou tu l'as sur un CD fournit avec le PC ... )


possible que Photoshop est quelque bug également ...


=====================
=====================
=====================

Content d'avoir pu te rendre service ... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

=================================================================
=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilou ...


bonne continuation à toi .... =)


A+

Safius · Answer

OK, merci pour toutes ces infos. Et pour la énième fois MERCI infiniment pour ton aide plus que précieuse.
& Bonne continuation à toi également :)

Safius · Answer

Hello ...
& oui c'est encore moi :s J'ai juste un petit problème, mon ordi ne reconnaît pas ma carte mémoire ! Pourtant le voyant sur l'unité centrale s'allume mais quand je vais Ordinateur y a pas de carté mémoire... Pareil pour mon iPod donc je me suis demandé si c'était pas lors du nettoyage avec le truc pour USB où y a un truc qui s'est bloqué ?
Désolé encore de te déranger :s

Safius · Answer

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201004/cijDhC6Gw9.txt

sKe69 · Answer

bon ....



RAS , c'est propre ... 



supprimes ces fichiers qui ne te sont plus utiles :


C:\UsbFix_Upload_Me_PC-de-Safia.zip 
C:\ZHPExportRegistry-28-03-2010-18-44-02.txt
C:\SEAFlog.txt 
C:\TmpSeaf.txt    
C:\rkill.log  



je ne vois pas trop comment régler ce petit soucis ... ta carte mémoire c'est quoi exactement ?



refais un scan ZHPDiag mais fais bien clique drtoi / "executer en tnat qu'admin...." car sinon il me manques des infos ... Poste le nouveau rapport obtenu ...

Safius · Answer

C'EST BON ! Je crois que j'avais fait tous les disques amovibles sauf le bon -__-
Vraiment désolé, je suis définitivement pas douée !
Merci encore ! :)

Très gros problème, ordinateur infecté

144 réponses

Votre réponse

Newsletters