Infection XP Security/.exe non executables/
grenouillem
-
grenouillem -
grenouillem -
Bonjour,
Je vous contacte car j'ai de gros soucis avec mon PC.
Suite à l'apparition d'une pop up, ma femme a clické sur un lien ou quelque chose du genre qui a provoqué l'appartition d'un message d'erreur avec pour titre (de mémoire) "XP internet security".
Depuis voila les symptomes :
- impossible d'executer les .exe (fenetre "choisissez le programme à utiliser pour ouvrir ce type de fichier", la meme que pour "ouvrir avec...")
- impossible de déplacer des dossiers (message d'erreur "le quota disponible est insuffisant pour traiter cette demande au bout de 20 secondes")
- impossible de lancer regedit/msconfig/taskmgr à partir de la commande executer ou à la racine de leur dossier
- impossible de lancer les rubriques du panneau de configuration ("C:/Windows/system3/rundll32.exe : application introuvable"
- dans le poste de travail, les noms des différents lecteurs n'apparaissent plus
- 3 lecteurs CDROM sont apparus de nulle part dans le poste de travail
Et la situation s'empire : je ne peux plus acceder à Mes Documents ("vos parametres de
sécurité actuels interdisent cette action")
J'ai tout de meme pu relever la modification sur mon disque dur le jour meme des fichiers suivants (fonction rechercher de Windows, c'est mieux que rien) :
- oashdihasidhasuidhiasdhiashdiuasdhasd (c/Windows/system32/config/systemprofile)
- ODiag.evt (c/Windows/system32/config/)
- OSession.evt (c/Windows/system32/config/)
- wuaucldt.exe (c/Windows/system32/config/ et c/Windows/system32/config/systemprofile) que je sais etre verrolé
- un répertoire c/windows/pchealth alors que ce logiciel ne me dit rien, avec des fichiers du genre "collectedData_3927"....
et bien d'autres encore, bien evidemment, majoritairement dans le dossier system32 (étrange...)
Je tourne actuellement sur XP, je disposais de la derniere version de la solution antivirus Microsoft Essentials (que de fait je n'utiliserai plus !).
Je suis donc completement aveugle en ce qui concerne la situation de mon pc : pas de suivi des process, pas de hijackthis possible...
quelqu'un aurait il des conseils à me donner histoire de reprendre la main ?
Je n'arrive meme plus a activer le mode sans echec !
Merci pour toute aide !
Je vous contacte car j'ai de gros soucis avec mon PC.
Suite à l'apparition d'une pop up, ma femme a clické sur un lien ou quelque chose du genre qui a provoqué l'appartition d'un message d'erreur avec pour titre (de mémoire) "XP internet security".
Depuis voila les symptomes :
- impossible d'executer les .exe (fenetre "choisissez le programme à utiliser pour ouvrir ce type de fichier", la meme que pour "ouvrir avec...")
- impossible de déplacer des dossiers (message d'erreur "le quota disponible est insuffisant pour traiter cette demande au bout de 20 secondes")
- impossible de lancer regedit/msconfig/taskmgr à partir de la commande executer ou à la racine de leur dossier
- impossible de lancer les rubriques du panneau de configuration ("C:/Windows/system3/rundll32.exe : application introuvable"
- dans le poste de travail, les noms des différents lecteurs n'apparaissent plus
- 3 lecteurs CDROM sont apparus de nulle part dans le poste de travail
Et la situation s'empire : je ne peux plus acceder à Mes Documents ("vos parametres de
sécurité actuels interdisent cette action")
J'ai tout de meme pu relever la modification sur mon disque dur le jour meme des fichiers suivants (fonction rechercher de Windows, c'est mieux que rien) :
- oashdihasidhasuidhiasdhiashdiuasdhasd (c/Windows/system32/config/systemprofile)
- ODiag.evt (c/Windows/system32/config/)
- OSession.evt (c/Windows/system32/config/)
- wuaucldt.exe (c/Windows/system32/config/ et c/Windows/system32/config/systemprofile) que je sais etre verrolé
- un répertoire c/windows/pchealth alors que ce logiciel ne me dit rien, avec des fichiers du genre "collectedData_3927"....
et bien d'autres encore, bien evidemment, majoritairement dans le dossier system32 (étrange...)
Je tourne actuellement sur XP, je disposais de la derniere version de la solution antivirus Microsoft Essentials (que de fait je n'utiliserai plus !).
Je suis donc completement aveugle en ce qui concerne la situation de mon pc : pas de suivi des process, pas de hijackthis possible...
quelqu'un aurait il des conseils à me donner histoire de reprendre la main ?
Je n'arrive meme plus a activer le mode sans echec !
Merci pour toute aide !
A voir également:
- Infection XP Security/.exe non executables/
- Cle windows xp - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- .Exe - Télécharger - Divers Utilitaires
- Svchost exe - Guide
- Bat to exe converter - Télécharger - Édition & Programmation
8 réponses
bonjour
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Nom du fichier : dumprep.exe
Processus faisant partie de Windows
> Nom du processus : Dump Reporting Tool
Programme produisant un fichier texte d'explications lors d'une erreur grave.
Nom du fichier : dumprep.exe
Processus faisant partie de Windows
> Nom du processus : UserFaultCheck
Nom du fichier : cmd.exe
Processus faisant partie de Windows
> Nom du processus : Windows Command Prompt
La fenêtre d'invite de commande.
le premier, pas de résultat
Processus faisant partie de Windows
> Nom du processus : Dump Reporting Tool
Programme produisant un fichier texte d'explications lors d'une erreur grave.
Nom du fichier : dumprep.exe
Processus faisant partie de Windows
> Nom du processus : UserFaultCheck
Nom du fichier : cmd.exe
Processus faisant partie de Windows
> Nom du processus : Windows Command Prompt
La fenêtre d'invite de commande.
le premier, pas de résultat
moi j'ai réussit a m'en débarrasser grâce a malwarebytes
lien de téléchargement : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
il suffit de lancer un analyse, les fichier infectés apparaisse , il n'y a plus qu'a cliqué sur supprimer la liste.
Ensuite on redémarre l'ordi et voila
lien de téléchargement : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
il suffit de lancer un analyse, les fichier infectés apparaisse , il n'y a plus qu'a cliqué sur supprimer la liste.
Ensuite on redémarre l'ordi et voila
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Combo fix me lance lors des differentes etapes des "ressources insuffisantes" lors de son scan....
...alors que j'ai encore 42 Go de libres et 3 Go de Ram !
je comprends de moins en moins ce qui arrive à mon pc : j'ai réussi a lancer processexplorer (rien d'anormal de ce cote la) et voici mon log hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:26, on 04/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\Documents and Settings\Vincent\Bureau\procddexp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [syncman] c:\documents and settings\vincent\wuaucldt.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: monnwb32.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.blackberry.com/devicesoftware/AxLoader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
...alors que j'ai encore 42 Go de libres et 3 Go de Ram !
je comprends de moins en moins ce qui arrive à mon pc : j'ai réussi a lancer processexplorer (rien d'anormal de ce cote la) et voici mon log hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:26, on 04/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\Documents and Settings\Vincent\Bureau\procddexp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [syncman] c:\documents and settings\vincent\wuaucldt.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: monnwb32.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.blackberry.com/devicesoftware/AxLoader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
je vois des lignes infectieuses dans le rapport, ton PC est bien infecté
essaye ceci
Télécharge Dr Web CureIt sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique drweb-cureit.exe et ensuite clique sur Analyse;
- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
essaye ceci
Télécharge Dr Web CureIt sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique drweb-cureit.exe et ensuite clique sur Analyse;
- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
Impossible de connecter une clé USB depuis 20 minutes...
Les ports marchent (ma souris fonctionne dessus), mais pas d'appartition de mes clés au poste de travail, ni sur le poste de travail version combo fix dans c:/combofix
Je tourne a present avec 14 processus, avec un look de windows 95, mais ca tourne.
Toujours pas de noms sous les lecteurs dans le poste de travail.
Est il possible qu'un trop grand nombre de périphériques empeche l'apparition de ma clé ?
J'ai 2 DD, 1 lecteur CD, 4 slots cartes mémoires, plus 3 lecteurs CD fictifs apparus je ne sais comment...
Les ports marchent (ma souris fonctionne dessus), mais pas d'appartition de mes clés au poste de travail, ni sur le poste de travail version combo fix dans c:/combofix
Je tourne a present avec 14 processus, avec un look de windows 95, mais ca tourne.
Toujours pas de noms sous les lecteurs dans le poste de travail.
Est il possible qu'un trop grand nombre de périphériques empeche l'apparition de ma clé ?
J'ai 2 DD, 1 lecteur CD, 4 slots cartes mémoires, plus 3 lecteurs CD fictifs apparus je ne sais comment...
Pas simple ce problème.
Nathandre,
CF ne se lancera sans doute pas. Pb avec les .exe
Pour les associations de fichiers ( .exe ), téléchargement du fix suivant xp_exe.reg et enregistrez-le sur ton bureau.
Puis fusionner le fichier.
Double-cliquez sur le fichier xp_exe.reg pour fusionner le fichier avec la base de registre.
Acceptez aux différentes invites.
Bonne continuation
@+
Effectivement, j'ai du passer par le xp_exe.reg, la fusion s'est bien faite
Au lancement de ComboFix, j'ai droit à "Some files could not be created. Please close all applications, reboot Windows and restart this installation"
J'ai réussi vite fait à acceder à regedit ainsi qu'a taskmgr.
Si ca peut aider, j'ai droit aux process :
MpCmdRun.exe que je ne connaissais pas
à dumprep.exe (service reseau)
ainsi que dwwin et wuaucldt.exe
La ou je ne comprends pas, c'est que cette fois j'ai eu acces à mon ancien antivirus, microsogt essentials.
J'ai lancé aussitot une analyse, qui a planté avec :
- iexplorer.exe : composant (winspool.drv) introuvable
- 3788R22FWJFW\hidec.exe : le quota disponible est insuffisant pour traiter cette commande puis un 2eme message ; le fichier de pagination est insuffisant pour terminer cette opération
Et lors de l'analyse, j'ai eu droit a un zoli ecran bleu suivi d'un reboot.
J'ai tout de meme acces a present a taskmgr,
2 nouveaux process sont apparus au demarrage de windows :
Nircmd.cfxxe
cmd.fxxe
dumprep.exe