Comment supprimer Your protection?

Résolu
etienne -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
bonjour,
j'ai besoin d'aide, depuis hier j'ai des pages qui s'ouvrent toutes seules et c'est Your protection. j'ai vu que c'était un virus et bien sur il ne se laisse pas supprimer tout seul.
j'ai téléchargé ZHPdiag et je suis allé posté le compte rendu sur Cijoint.fr et voila le lien http://www.cijoint.fr/cjlink.php?file=cj201004/cij17d2FW9.txt .
pouvez vous m'aider??

merci d'avance

Cordialement

16 réponses

Réponse 1 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hello jlpjlp,


y a du lourd là ... ;)



@ etienne,


ta version de Windows n'est pas légitime ! .... pas dis que l'on s'en sorte avec ces versions foireuses de windows ....



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).




Commence par ceci dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


C:\WINDOWS\_VOIDpfvoqhxmko\_VOIDd.sys
[MD5.9F91BDD3FEF72C3BD21F372D8A3A6E3F] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\secih.exe   [20001]   
[MD5.62753E392367602DCF68C7BFBA5A6851] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\mplay32xe.exe   [258560]  
[MD5.854DB7AAE9A650B50E795D684CDEC4DF] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\install.exe   [50004]  
[MD5.9E695B48600948E3D3931FE297353EF7] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe   [2359296]       
O2 - BHO: C:\WINDOWS\system32\pzyv2dre.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\pzyv2dre.dll
O4 - HKCU\..\Run: [hf8wefhuaihf8ewfydiujhfdsfdf] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\secih.exe  
O4 - HKCU\..\Run: [mplay32xe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\mplay32xe.exe
O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\install.exe
O4 - HKCU\..\Run: [Your Protection] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe       
O22 - SharedTaskScheduler: (no name) - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\pzyv2dre.dll
O41 - Driver: (_VOIDpfvoqhxmko) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\_VOIDpfvoqhxmko\_VOIDd.sys
O43 - CFD:Common File Directory ----D- C:\Program Files\Your Protection
O43 - CFD:Common File Directory ----D- C:\WINDOWS\_VOIDpfvoqhxmko
O44 - LFC:[MD5.80C6AF4F948D4168FC90DA1A6F4B6924] - 08/04/2010 - 21:14:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\kziwslz.sys   [823808]  
O44 - LFC:[MD5.9BA11F85A92D9867EC576F3F2E0FC8F1] - 08/04/2010 - 21:14:50 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\xkblwbt.sys   [594432]  
O44 - LFC:[MD5.4C91313130E627C4E78B877D6514F0BB] - 08/04/2010 - 20:52:40 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\_VOIDtoejpyfucb.dll   [49152]  
O44 - LFC:[MD5.876D98FBE5DF2930176F96AB9708599D] - 08/04/2010 - 20:52:39 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\_VOIDldkmoyayfj.dll   [49152]
O44 - LFC:[MD5.6171E0AD40F14877A324EB79B36ED52D] - 08/04/2010 - 20:52:37 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\_VOIDvmftxdkibx.dat   [191] 
O44 - LFC:[MD5.4241938C35DB7BE49102DEFD6B8B3841] - 08/04/2010 - 20:52:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\_VOIDmkiqwfoaaj.dll   [29696]
O44 - LFC:[MD5.08D19F19A278951A8CEF7C4622423AF4] - 08/04/2010 - 20:52:28 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\pzyv2dre.dll   [20000]             
O58 - SDL:[MD5.80C6AF4F948D4168FC90DA1A6F4B6924] - 08/04/2010 - 21:14:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\kziwslz.sys  
O58 - SDL:[MD5.9BA11F85A92D9867EC576F3F2E0FC8F1] - 08/04/2010 - 21:14:50 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\xkblwbt.sys



Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



=====================================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
* Ferme tes applications en cours ( ainsi que ton navigateur ) .
* DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
* Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...



1
etienne
 
problème.
quand je lance le nettoyage sur ZHPdiag une nouvelle page s'ouvre " la modification du registre a été désactivée par votre administrateur".
que dois-je faire?

merci d'avance
0
etienne
 
non c'est bon ça a marché.
merci
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
oki ...

le rapport stp et fait la suite ....
0
etienne
 
ZHPFix v1.12.3083 by Nicolas Coolman - Rapport de suppression du 09/04/2010 12:06:23
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\WINDOWS\_VOIDpfvoqhxmko\_VOIDd.sys => Supprimé et mis en quarantaine
C:\DOCUME~1\cyril\LOCALS~1\Temp\secih.exe [20001] => Supprimé et mis en quarantaine
C:\DOCUME~1\cyril\LOCALS~1\Temp\mplay32xe.exe [258560] => Supprimé et mis en quarantaine
C:\DOCUME~1\cyril\LOCALS~1\Temp\install.exe [50004] => Supprimé et mis en quarantaine
C:\Program Files\Your Protection\urpprot.exe [2359296] => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: C:\WINDOWS\system32\pzyv2dre.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\pzyv2dre.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9BA40A1-74F1-52BD-F431-00B15A2C8953}] => Clé supprimée avec succès
[HKCR\CLSID\{A9BA40A1-74F1-52BD-F431-00B15A2C8953}] => Clé supprimée avec succès
O41 - Driver: (_VOIDpfvoqhxmko) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\_VOIDpfvoqhxmko\_VOIDd.sys => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [hf8wefhuaihf8ewfydiujhfdsfdf] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\secih.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [mplay32xe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\mplay32xe.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\cyril\LOCALS~1\Temp\install.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Your Protection] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe => Valeur supprimée avec succès
O22 - SharedTaskScheduler: (no name) - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\pzyv2dre.dll => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Your Protection => Fichier supprimé au reboot
C:\WINDOWS\_VOIDpfvoqhxmko => Supprimé et mis en quarantaine

Fichier :
c:\windows\system32\pzyv2dre.dll => Supprimé et mis en quarantaine
c:\docume~1\cyril\locals~1\temp\secih.exe => Fichier absent
c:\docume~1\cyril\locals~1\temp\mplay32xe.exe => Fichier absent
c:\docume~1\cyril\locals~1\temp\install.exe => Fichier absent
c:\program files\your protection\urpprot.exe => Fichier absent
c:\windows\system32\pzyv2dre.dll => Fichier absent
c:\windows\system32\drivers\kziwslz.sys [823808] => Fichier absent
c:\windows\system32\drivers\xkblwbt.sys [594432] => Fichier absent
c:\windows\system32\_voidtoejpyfucb.dll => Supprimé et mis en quarantaine
c:\windows\system32\_voidldkmoyayfj.dll => Supprimé et mis en quarantaine
c:\windows\system32\_voidvmftxdkibx.dat => Supprimé et mis en quarantaine
c:\windows\system32\_voidmkiqwfoaaj.dll => Supprimé et mis en quarantaine
c:\windows\system32\drivers\kziwslz.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\xkblwbt.sys => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 5
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 5
Elément de données du Registre : 0
Dossier : 2
Fichier : 14
Logiciel : 0
Autre : 0


End of the scan
0
etienne
 
ComboFix 10-04-08.02 - cyril 09/04/2010 12:40:03.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2014.1617 [GMT 2:00]
Lancé depuis: c:\documents and settings\cyril\Mes documents\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\fiosejgfse.dll
c:\documents and settings\All Users\Favoris\_favdata.dat
c:\documents and settings\cyril\csrss.exe
c:\recycler\S-1-5-21-0068603457-1698906754-960974910-3224
c:\recycler\S-1-5-21-1709252439-6306535169-758285184-8052
c:\windows\system32\pzyv2dre.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 ))))))))))))))))))))))))))))))))))))
.

2010-04-09 09:56 . 2010-04-09 10:06 -------- d-----w- c:\program files\ZHPFix
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\documents and settings\cyril\Application Data\Malwarebytes
2010-04-09 09:28 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-09 09:28 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-09 08:50 . 2010-04-09 08:50 -------- d-----w- c:\program files\ZHPDiag
2010-04-09 08:19 . 2010-04-09 08:19 2162688 ----a-w- C:\SpyHunter-Compact-OS.exe
2010-04-09 08:18 . 2010-04-09 08:18 -------- d-----w- c:\program files\Enigma Software Group
2010-04-08 20:06 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-08 20:02 . 2010-04-09 10:06 -------- d-----w- c:\program files\Your Protection
2010-03-28 10:47 . 2010-04-01 19:52 -------- d-----w- c:\documents and settings\cyril\Local Settings\Application Data\Temp
2010-03-28 10:47 . 2010-03-28 10:49 -------- d-----w- c:\documents and settings\cyril\Local Settings\Application Data\Google
2010-03-27 11:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-15 20:11 . 2010-03-15 20:11 -------- d-----w- c:\program files\IKEA HomePlanner
2010-03-15 20:10 . 2010-03-15 20:10 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 08:27 . 2001-08-24 12:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-09 08:27 . 2001-08-24 12:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-25 06:17 . 2006-04-12 18:13 916480 ----a-w- c:\windows\system32\wininet.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\sfcfiles.dll
[-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-28 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-06-17 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-06-17 118784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acc'l'rateur de d'marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HELPSVC
.
Contenu du dossier 'Tâches planifiées'

2010-03-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-220523388-725345543-1003Core.job
- c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-28 10:47]

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-220523388-725345543-1003UA.job
- c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-28 10:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20100406140709
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A9BA40A1-74F1-52BD-F431-00B15A2C8953} - c:\windows\system32\pzyv2dre.dll
SharedTaskScheduler-{A9BA40A1-74F1-52BD-F431-00B15A2C8953} - c:\windows\system32\pzyv2dre.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 12:43
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(652)
c:\windows\system32\webcheck.dll
.
Heure de fin: 2010-04-09 12:45:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-09 10:45

Avant-CF: 34 843 009 024 octets libres
Après-CF: 34 899 435 520 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 7828F4BCD357BC634EF8B47E4444086D
0
Réponse 2 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
impec ....



la suite dans l'ordre :



1- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


Registry:: 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"=-

Folder:: 
c:\program files\Your Protection




* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


======================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


1
etienne
 
ComboFix 10-04-08.02 - cyril 09/04/2010 14:40:46.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2014.1651 [GMT 2:00]
Lancé depuis: c:\documents and settings\cyril\Mes documents\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\cyril\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 ))))))))))))))))))))))))))))))))))))
.

2010-04-09 11:21 . 2010-04-09 11:16 404737 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe
2010-04-09 11:21 . 2009-03-03 09:21 9985 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updguirc.dll
2010-04-09 11:21 . 2008-10-20 06:38 126721 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll
2010-04-09 11:06 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-09 11:06 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-04-09 11:06 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-04-09 11:06 . 2010-04-09 11:06 -------- d-----w- c:\program files\Avira
2010-04-09 11:06 . 2010-04-09 11:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-09 09:56 . 2010-04-09 10:06 -------- d-----w- c:\program files\ZHPFix
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\documents and settings\cyril\Application Data\Malwarebytes
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-09 08:50 . 2010-04-09 08:50 -------- d-----w- c:\program files\ZHPDiag
2010-04-09 08:19 . 2010-04-09 08:19 2162688 ----a-w- C:\SpyHunter-Compact-OS.exe
2010-04-09 08:18 . 2010-04-09 08:18 -------- d-----w- c:\program files\Enigma Software Group
2010-04-08 20:06 . 2010-04-09 11:21 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-28 10:47 . 2010-04-01 19:52 -------- d-----w- c:\documents and settings\cyril\Local Settings\Application Data\Temp
2010-03-28 10:47 . 2010-03-28 10:49 -------- d-----w- c:\documents and settings\cyril\Local Settings\Application Data\Google
2010-03-27 11:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-15 20:11 . 2010-03-15 20:11 -------- d-----w- c:\program files\IKEA HomePlanner
2010-03-15 20:10 . 2010-03-15 20:10 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 11:19 . 2001-08-24 12:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-09 11:19 . 2001-08-24 12:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-25 06:17 . 2006-04-12 18:13 916480 ------w- c:\windows\system32\wininet.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\sfcfiles.dll
[-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-04-09_10.43.16 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-24 12:00 . 2010-04-09 08:27 53098 c:\windows\system32\perfc009.dat
+ 2001-08-24 12:00 . 2010-04-09 11:19 53098 c:\windows\system32\perfc009.dat
+ 2010-04-09 11:06 . 2010-04-09 11:21 28520 c:\windows\system32\drivers\ssmdrv.sys
+ 2001-08-24 12:00 . 2010-04-09 11:19 380684 c:\windows\system32\perfh009.dat
- 2001-08-24 12:00 . 2010-04-09 08:27 380684 c:\windows\system32\perfh009.dat
+ 2008-07-29 06:05 . 2008-07-29 06:05 3783672 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-28 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-06-17 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-06-17 118784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acc'l'rateur de d'marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/04/2010 13:06 108289]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SSMDRV
.
Contenu du dossier 'Tâches planifiées'

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-220523388-725345543-1003Core.job
- c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-28 10:47]

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-220523388-725345543-1003UA.job
- c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-28 10:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20100406140709
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 14:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2216)
c:\windows\system32\webcheck.dll
.
Heure de fin: 2010-04-09 14:45:42
ComboFix-quarantined-files.txt 2010-04-09 12:45
ComboFix2.txt 2010-04-09 10:45

Avant-CF: 34 710 474 752 octets libres
Après-CF: 34 683 744 256 octets libres

- - End Of File - - B99F4B3CA632BA3E2EEFF5B1C9366D1C
0
etienne
 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijtv19FwL.txt
0
Réponse 3 / 16
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt


je laisse la main à Ske69 que je salue

a plus
0
Réponse 4 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,


tu es très infecté ! ....


ne touche plus au PC et laisse le bien alumé ! ....


je te prépare une procédure et te donne suite le plus rapidement possible ....




;)



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
impec ....



la suite dans l'ordre :



1- Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



==============================


2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


0
etienne
 
############################## | UsbFix V6.101 |

User : cyril (Administrateurs) # XPSP2-2325B39B2
Update on 08/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:12:15 | 09/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.50GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 39.06 Go (32.4 Go free) # NTFS
D:\ -> Disque fixe local # 35.46 Go (32.6 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3.73 Go (1.83 Go free) [UDISK] # FAT32

################## | Elements infectieux |

G:\autorun.inf -> fichier appelé : "G:\SANJA/radic.exe" ( Présent ! )
G:\autorun.inf -> fichier appelé : "G:\SANJA/radic.exe" ( Présent ! )
G:\autorun.inf
G:\NOCHIMA\desktop.ini
G:\NOCHIMA\tonijeto.exe
G:\NOCHIMA

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{27198806-3e45-11de-bd4f-00c09f829b61}
Shell\AutoRun\command =G:\SANJA/radic.exe
Shell\open\command =G:\SANJA/radic.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.101 ! |
0
Réponse 6 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


Ta clé usb est vérolée ... si tu l'as branchée sur d'autres PC récemment , ces dernier sont surement infecté ...




dans l'ordre :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


Une fois ce rapport posté ( et pas avant ! ) , enchaine ...

=============================


2- ! toujours tes unités externes branchées au PC !

* Relance de nouveau UsbFix

* Choisis au menu principal l'option 4 ( "listing" ).

> laisse travailler l'outil ...

Poste moi le nouveau rapport obtenu pour analyse et attends la suite ...



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
etienne
 
############################## | UsbFix V6.101 |

User : cyril (Administrateurs) # XPSP2-2325B39B2
Update on 08/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:31:26 | 09/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.50GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 39.06 Go (32.37 Go free) # NTFS
D:\ -> Disque fixe local # 35.46 Go (32.6 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3.73 Go (1.82 Go free) [UDISK] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-527237240-220523388-725345543-1003
Supprimé ! D:\Recycler\S-1-5-21-527237240-220523388-725345543-1003
G:\autorun.inf -> fichier appelé : "G:\SANJA/radic.exe" ( Présent ! )
(!) Non supprimé ! G:\SANJA/radic.exe
G:\autorun.inf -> fichier appelé : "G:\SANJA/radic.exe" ( Présent ! )
(!) Non supprimé ! G:\SANJA/radic.exe
Supprimé ! G:\autorun.inf
Supprimé ! G:\NOCHIMA\desktop.ini
Supprimé ! G:\NOCHIMA\tonijeto.exe
Supprimé ! G:\NOCHIMA

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[19/04/2009 19:43|--a------|0] C:\AUTOEXEC.BAT
[19/04/2009 19:35|--a------|212] C:\Boot.bak
[09/04/2010 12:39|-rahs----|282] C:\boot.ini
[24/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] C:\cmldr
[09/04/2010 14:45|--a------|8139] C:\ComboFix.txt
[19/04/2009 19:43|--a------|0] C:\CONFIG.SYS
[19/04/2009 19:43|-rahs----|0] C:\IO.SYS
[19/04/2009 19:43|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 23:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 23:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[09/04/2010 10:19|--a------|2162688] C:\SpyHunter-Compact-OS.exe
[09/04/2010 16:34|--a------|2227] C:\UsbFix.txt
[07/10/2009 17:04|---------|82260] G:\43146[1].mdi
[19/12/2006 22:06|---hs----|28672] G:\Thumbs.db
[20/07/2008 06:57|--a------|824668] G:\IM000213.JPG
[11/10/2009 11:10|--a------|296] G:\WMPInfo.xml
[08/04/2005 12:19|--a------|89991] G:\062.jpg
[08/02/2010 11:50|--a------|85504] G:\TD 4 de droit fiscal.doc
[17/02/2010 21:29|--a------|20480] G:\Rouill' facture.xls
[27/10/2009 08:57|--a------|115596] G:\attes.xps
[31/07/2008 21:46|--a------|68623] G:\Photo0041.jpg
[16/02/2010 14:15|--a------|188928] G:\td 5 charges.doc
[20/02/2010 18:28|--a------|2475520] G:\AV C1 Pack.doc
[20/02/2010 21:06|--a------|22528] G:\enzo.doc
[04/01/2010 21:10|--a------|484864] G:\Droit commercial international complet.doc
[12/04/2005 12:05|--a------|139885] G:\005.jpg
[08/05/2008 17:21|--ahs----|172] G:\DRMv1PM.lic
[01/03/2010 14:30|--a------|88064] G:\Td 6.doc
[06/03/2010 22:04|--a------|818368] G:\IM000118.JPG
[23/02/2010 14:23|--a------|213083] G:\CONCURRENCE ET DISTRIBUTION 2010.docx
[23/02/2010 14:23|--ah-----|4096] G:\._CONCURRENCE ET DISTRIBUTION 2010.docx
[01/03/2010 15:24|--ah-----|4096] G:\._Td 6.doc
[04/03/2010 15:59|--a------|230284] G:\succession 2010.docx
[05/03/2010 09:21|--ah-----|4096] G:\._succession 2010.docx
[06/03/2010 22:05|--a------|940649] G:\IM000119.JPG
[06/03/2010 22:05|--a------|620992] G:\IM000120.JPG
[07/03/2010 18:25|--a------|701984] G:\IM000121.JPG
[07/03/2010 18:25|--a------|818976] G:\IM000122.JPG
[08/03/2010 12:16|--a------|34816] G:\l'a construction.doc
[12/03/2010 16:26|--a------|28936] G:\cuisineRouille.mdi
[05/01/2010 14:03|--ah-----|4096] G:\._.Trashes
[04/05/2008 09:45|---hs----|82] G:\desktop.ini
[05/01/2010 14:05|--ah-----|4096] G:\._Concurrence et distribution-_M.Binctin.doc
[05/01/2010 14:05|--ah-----|4096] G:\._.TemporaryItems
[12/03/2010 16:30|--a------|1318136] G:\cuisineRouille.tif
[10/01/2010 21:52|--a------|26624] G:\rouill' charpente.xls
[15/03/2010 09:26|--a------|38400] G:\DPA 15 mars.doc
[12/01/2010 20:35|--a------|20992] G:\devis rouill' avril 09.xls
[07/01/2010 13:58|--ah-----|4096] G:\._DROIT PENAL DES AFFAIRES.docx
[16/03/2010 23:33|--a------|2185443] G:\cuisine photo.jpg
[26/01/2010 08:26|--ah-----|4096] G:\._DROIT FISCAL DES AFFAIRES.docx
[26/01/2010 08:25|--ah-----|4096] G:\._1Sre PARTIE PCÿ.docx
[15/03/2010 13:01|--a------|33280] G:\lea construction du 15 mars.doc
[26/01/2010 08:26|--ah-----|4096] G:\._PROCEDURES COLLECTIVES.docx
[15/03/2010 13:07|--a------|31519] G:\Droit de la construction -Emilie.docx
[24/02/2010 12:19|--a------|34304] G:\METHODOLOGIE+DU+CAS+PRATIQUE
[07/04/2010 11:43|--a------|431616] G:\DROIT PENAL DES AFFAIRES complet 2010.doc

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_XPSP2-2325B39B2.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.101 ! |
0
etienne
 
############################## | UsbFix V6.101 |

User : cyril (Administrateurs) # XPSP2-2325B39B2
Update on 08/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:37:04 | 09/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.50GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 39.06 Go (32.38 Go free) # NTFS
D:\ -> Disque fixe local # 35.46 Go (32.6 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3.73 Go (1.83 Go free) [UDISK] # FAT32

###################### | Listing des fichiers présents C:\ |

[19/04/2009 19:43|--a------|0] - C:\AUTOEXEC.BAT
[19/04/2009 19:35|--a------|212] - C:\Boot.bak
[09/04/2010 12:39|-rahs----|282] - C:\boot.ini
[24/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] - C:\cmldr
[09/04/2010 14:45|--a------|8139] - C:\ComboFix.txt
[19/04/2009 19:43|--a------|0] - C:\CONFIG.SYS
[19/04/2009 19:43|-rahs----|0] - C:\IO.SYS
[19/04/2009 19:43|-rahs----|0] - C:\MSDOS.SYS
[03/08/2004 23:38|-rahs----|47564] - C:\NTDETECT.COM
[03/08/2004 23:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[09/04/2010 10:19|--a------|2162688] - C:\SpyHunter-Compact-OS.exe
[09/04/2010 16:37|--a------|1445] - C:\UsbFix.txt
[09/04/2010 16:34|--a------|136483] - C:\UsbFix_Upload_Me_XPSP2-2325B39B2.zip

###################### | Listing des dossiers présents C:\ |

[09/04/2010 16:34|drahs----|0] - C:\autorun.inf
[09/04/2010 12:39|drahs----|0] - C:\cmdcons
[09/04/2010 14:45|d--------|0] - C:\ComboFix
[09/04/2010 13:05|d--------|0] - C:\Config.Msi
[19/04/2009 19:55|d--------|0] - C:\Documents and Settings
[19/04/2009 20:12|dr-------|0] - C:\MSOCache
[09/04/2010 16:07|dr-------|0] - C:\Program Files
[09/04/2010 14:45|d--------|0] - C:\Qoobox
[09/04/2010 16:34|d--hs----|0] - C:\RECYCLER
[20/08/2009 22:41|d--------|0] - C:\swsetup
[09/04/2010 14:33|d--hs----|0] - C:\System Volume Information
[09/04/2010 16:37|d--------|0] - C:\UsbFix
[09/04/2010 16:33|d--------|0] - C:\WINDOWS

###################### | Listing des fichiers présents D:\ |


###################### | Listing des dossiers présents D:\ |

[09/04/2010 10:17|d--------|0] - D:\11f2b6587e697889fd0f
[09/04/2010 16:34|drahs----|0] - D:\autorun.inf
[13/02/2010 21:33|dr-------|0] - D:\exercice conducteur de travaux
[19/04/2009 21:39|d--------|0] - D:\office 2003
[09/04/2010 16:34|d--hs----|0] - D:\RECYCLER
[19/04/2009 21:38|d--hs----|0] - D:\System Volume Information
[22/04/2009 21:38|d--------|0] - D:\Textures d'humain
[22/04/2009 21:38|d--------|0] - D:\Textures de bois
[22/04/2009 21:38|d--------|0] - D:\Textures de brique
[06/10/2009 21:05|d--------|0] - D:\Textures de carrelage
[22/04/2009 21:38|d--------|0] - D:\Textures de ciel
[22/04/2009 21:38|d--------|0] - D:\Textures de metal
[22/04/2009 21:38|d--------|0] - D:\Textures de mur
[22/04/2009 21:38|d--------|0] - D:\Textures de pierre
[22/04/2009 21:38|d--------|0] - D:\Textures de plante
[22/04/2009 21:38|d--------|0] - D:\Textures de sable
[22/04/2009 21:38|d--------|0] - D:\Textures de toit
[22/04/2009 21:38|d--------|0] - D:\Textures de verre

###################### | Listing des fichiers présents G:\ |

[07/10/2009 17:04|---------|82260] - G:\43146[1].mdi
[19/12/2006 22:06|---hs----|28672] - G:\Thumbs.db
[20/07/2008 06:57|--a------|824668] - G:\IM000213.JPG
[11/10/2009 11:10|--a------|296] - G:\WMPInfo.xml
[08/04/2005 12:19|--a------|89991] - G:\062.jpg
[08/02/2010 11:50|--a------|85504] - G:\TD 4 de droit fiscal.doc
[17/02/2010 21:29|--a------|20480] - G:\Rouill' facture.xls
[27/10/2009 08:57|--a------|115596] - G:\attes.xps
[31/07/2008 21:46|--a------|68623] - G:\Photo0041.jpg
[16/02/2010 14:15|--a------|188928] - G:\td 5 charges.doc
[20/02/2010 18:28|--a------|2475520] - G:\AV C1 Pack.doc
[20/02/2010 21:06|--a------|22528] - G:\enzo.doc
[04/01/2010 21:10|--a------|484864] - G:\Droit commercial international complet.doc
[12/04/2005 12:05|--a------|139885] - G:\005.jpg
[08/05/2008 17:21|--ahs----|172] - G:\DRMv1PM.lic
[01/03/2010 14:30|--a------|88064] - G:\Td 6.doc
[06/03/2010 22:04|--a------|818368] - G:\IM000118.JPG
[23/02/2010 14:23|--a------|213083] - G:\CONCURRENCE ET DISTRIBUTION 2010.docx
[23/02/2010 14:23|--ah-----|4096] - G:\._CONCURRENCE ET DISTRIBUTION 2010.docx
[01/03/2010 15:24|--ah-----|4096] - G:\._Td 6.doc
[04/03/2010 15:59|--a------|230284] - G:\succession 2010.docx
[05/03/2010 09:21|--ah-----|4096] - G:\._succession 2010.docx
[06/03/2010 22:05|--a------|940649] - G:\IM000119.JPG
[06/03/2010 22:05|--a------|620992] - G:\IM000120.JPG
[07/03/2010 18:25|--a------|701984] - G:\IM000121.JPG
[07/03/2010 18:25|--a------|818976] - G:\IM000122.JPG
[08/03/2010 12:16|--a------|34816] - G:\l'a construction.doc
[12/03/2010 16:26|--a------|28936] - G:\cuisineRouille.mdi
[05/01/2010 14:03|--ah-----|4096] - G:\._.Trashes
[04/05/2008 09:45|---hs----|82] - G:\desktop.ini
[05/01/2010 14:05|--ah-----|4096] - G:\._Concurrence et distribution-_M.Binctin.doc
[05/01/2010 14:05|--ah-----|4096] - G:\._.TemporaryItems
[12/03/2010 16:30|--a------|1318136] - G:\cuisineRouille.tif
[10/01/2010 21:52|--a------|26624] - G:\rouill' charpente.xls
[15/03/2010 09:26|--a------|38400] - G:\DPA 15 mars.doc
[12/01/2010 20:35|--a------|20992] - G:\devis rouill' avril 09.xls
[07/01/2010 13:58|--ah-----|4096] - G:\._DROIT PENAL DES AFFAIRES.docx
[16/03/2010 23:33|--a------|2185443] - G:\cuisine photo.jpg
[26/01/2010 08:26|--ah-----|4096] - G:\._DROIT FISCAL DES AFFAIRES.docx
[26/01/2010 08:25|--ah-----|4096] - G:\._1Sre PARTIE PCÿ.docx
[15/03/2010 13:01|--a------|33280] - G:\lea construction du 15 mars.doc
[26/01/2010 08:26|--ah-----|4096] - G:\._PROCEDURES COLLECTIVES.docx
[15/03/2010 13:07|--a------|31519] - G:\Droit de la construction -Emilie.docx
[24/02/2010 12:19|--a------|34304] - G:\METHODOLOGIE+DU+CAS+PRATIQUE
[07/04/2010 11:43|--a------|431616] - G:\DROIT PENAL DES AFFAIRES complet 2010.doc

###################### | Listing des dossiers présents G:\ |

[17/02/2010 16:51|d--------|0] - G:\portable
[03/09/2009 11:16|d--------|0] - G:\ti connect
[20/02/2010 20:59|d--------|0] - G:\C1
[13/02/2010 19:06|d--------|0] - G:\permis rouill'
[13/02/2010 19:06|d--------|0] - G:\rouill'
[05/03/2010 09:21|d--h-----|0] - G:\.fseventsd
[24/10/2009 09:55|d--------|0] - G:\imprimante
[25/12/2008 10:36|d--------|0] - G:\office 2003
[07/03/2010 20:36|d--------|0] - G:\mars 10
[09/04/2010 16:34|drahs----|0] - G:\autorun.inf
[07/04/2010 10:30|dr-hs----|0] - G:\SRECOMOJA
[07/04/2010 11:04|dr-hs----|0] - G:\SANJA
[05/01/2010 14:03|d--h-----|0] - G:\.Trashes
[05/01/2010 14:03|d--h-----|0] - G:\.Spotlight-V100
[05/01/2010 14:05|d--h-----|0] - G:\.TemporaryItems

################## | ! Fin du rapport # UsbFix V6.101 ! |
0
etienne
 
héla j'ai un autre PC sur lequel j'ai utilisé la clé USB.
0
Réponse 7 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...



l'infections dans les supports amovibles fait de la résistance ....



j'aimerai avoir, avant de lui faire sa fête , quelques info dessus ...


Pour cela , fait ceci dans un premier temps :


Ta clé toujours branchée au PC !



Télécharge SystemLook de jpshortstuff sur ton bureau :

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe


* Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:dir
G:\SRECOMOJA
G:\SANJA


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...


( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
etienne
 
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:46 on 09/04/2010 by cyril (Administrator - Elevation successful)

========== dir ==========

G:\SRECOMOJA - Parameters: "(none)"

---Files---
Desktop.ini --ahs- 64 bytes [08:30 07/04/2010] [08:30 07/04/2010]
nemasmalo.exe -rahs- 108032 bytes [08:30 07/04/2010] [17:15 04/04/2010]

---Folders---
None found.

G:\SANJA - Parameters: "(none)"

---Files---
Desktop.ini --ahs- 64 bytes [09:04 07/04/2010] [09:04 07/04/2010]
radic.exe ------ 183808 bytes [09:04 07/04/2010] [08:45 07/04/2010]

---Folders---
None found.

-=End Of File=-
0
Réponse 8 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....


maintenant fait ceci :



1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
G:\SRECOMOJA\nemasmalo.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses



0
etienne
 
problème car je n'ai pas "G:\SRECOMOJA\nemasmalo.exe " sur la clé.
0
Réponse 9 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


la bestiole se cahe bien alors ... ^^



c'est pas grave, on va essayer de chopper la signature numérique autrement ...



fait ceci :


Ta clé toujours branchée au PC !


Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :


nemasmalo,radic


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse.


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
etienne
 
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:13:45 le 09/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. nemasmalo
8. radic
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. Aucun fichier trouvé
16.
17. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
18.
19. Aucun dossier trouvé
20.
21. =========================
22.
23. Fin à: 17:13:48 le 09/04/2010 ( E.O.F )
0
etienne
 
je dois m'absenter pendant 2h au moins.
cordialement
0
Réponse 10 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...


SEAF ne scan pas les unités externes ... tant pis pour les infos .... ^^'


je te donne la suite pour tout à l'heure .



Dans l'ordre :



1- Ta clé toujours branchée au PC !


Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File::
G:\SRECOMOJA\Desktop.ini 
G:\SRECOMOJA\nemasmalo.exe 
G:\SANJA\Desktop.ini  
G:\SANJA\radic.exe

Folder:: 
G:\SRECOMOJA 
G:\SANJA



* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


===========================


3- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi, désactive ton antivirus et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=======================

4- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


0
etienne
 
ComboFix 10-04-08.02 - cyril 09/04/2010 18:32:26.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2014.1641 [GMT 2:00]
Lancé depuis: c:\documents and settings\cyril\Mes documents\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\cyril\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"g:\sanja\Desktop.ini"
"g:\sanja\radic.exe"
"g:\srecomoja\Desktop.ini"
"g:\srecomoja\nemasmalo.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

G:\SANJA
g:\sanja\Desktop.ini
g:\sanja\radic.exe
G:\SRECOMOJA
g:\srecomoja\Desktop.ini
g:\srecomoja\nemasmalo.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 ))))))))))))))))))))))))))))))))))))
.

2010-04-09 15:13 . 2010-04-09 15:13 -------- d-----w- c:\program files\SEAF
2010-04-09 14:34 . 2010-04-09 14:34 136483 ----a-w- C:\UsbFix_Upload_Me_XPSP2-2325B39B2.zip
2010-04-09 14:11 . 2010-04-09 14:37 -------- d-----w- C:\UsbFix
2010-04-09 14:07 . 2010-04-09 14:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-04-09 14:07 . 2010-04-09 14:07 -------- d-----w- c:\documents and settings\cyril\Application Data\Yahoo!
2010-04-09 14:07 . 2010-04-09 14:07 -------- d-----w- c:\program files\Yahoo!
2010-04-09 11:21 . 2010-04-09 11:16 404737 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe
2010-04-09 11:21 . 2009-03-03 09:21 9985 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updguirc.dll
2010-04-09 11:21 . 2008-10-20 06:38 126721 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll
2010-04-09 11:06 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-09 11:06 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-04-09 11:06 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-04-09 11:06 . 2010-04-09 11:06 -------- d-----w- c:\program files\Avira
2010-04-09 11:06 . 2010-04-09 11:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-09 09:56 . 2010-04-09 10:06 -------- d-----w- c:\program files\ZHPFix
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\documents and settings\cyril\Application Data\Malwarebytes
2010-04-09 09:28 . 2010-04-09 09:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-09 08:50 . 2010-04-09 13:04 -------- d-----w- c:\program files\ZHPDiag
2010-04-09 08:19 . 2010-04-09 08:19 2162688 ----a-w- C:\SpyHunter-Compact-OS.exe
2010-04-09 08:18 . 2010-04-09 08:18 -------- d-----w- c:\program files\Enigma Software Group
2010-04-08 20:06 . 2010-04-09 11:21 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-28 10:47 . 2010-04-01 19:52 -------- d-----w- c:\documents and settings\cyril\Local Settings\Application Data\Temp
2010-03-28 10:47 . 2010-03-28 10:49 -------- d-----w- c:\documents and settings\cyril\Local Settings\Application Data\Google
2010-03-27 11:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-15 20:11 . 2010-03-15 20:11 -------- d-----w- c:\program files\IKEA HomePlanner
2010-03-15 20:10 . 2010-03-15 20:10 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 14:35 . 2001-08-24 12:00 64638 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-09 14:35 . 2001-08-24 12:00 446706 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-09 14:09 . 2009-04-22 20:06 -------- d-----w- c:\program files\CCleaner
2010-02-25 06:17 . 2006-04-12 18:13 916480 ------w- c:\windows\system32\wininet.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\sfcfiles.dll
[-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-04-09_10.43.16 )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-08-24 12:00 . 2010-04-09 14:35 53548 c:\windows\system32\perfc009.dat
+ 2010-04-09 11:06 . 2010-04-09 11:21 28520 c:\windows\system32\drivers\ssmdrv.sys
+ 2001-08-24 12:00 . 2010-04-09 14:35 381326 c:\windows\system32\perfh009.dat
+ 2008-07-29 06:05 . 2008-07-29 06:05 3783672 c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-28 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-06-17 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-06-17 118784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acc'l'rateur de d'marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"HonorAutoRunSetting"= 0 (0x0)
"NoStrCmpLogical"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/04/2010 13:06 108289]
.
Contenu du dossier 'Tâches planifiées'

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-220523388-725345543-1003Core.job
- c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-28 10:47]

2010-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-220523388-725345543-1003UA.job
- c:\documents and settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-28 10:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 18:35
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-04-09 18:37:19
ComboFix-quarantined-files.txt 2010-04-09 16:37
ComboFix2.txt 2010-04-09 12:45
ComboFix3.txt 2010-04-09 10:45

Avant-CF: 34 745 266 176 octets libres
Après-CF: 34 716 499 968 octets libres

- - End Of File - - 0407E86DC3C9D53341FCC9ED69F01AAE
0
etienne
 
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3972

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

09/04/2010 18:57:07
mbam-log-2010-04-09 (18-57-07).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 97427
Temps écoulé: 2 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Your Protection (Rogue.YourProtection) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
vu ...


le nouveau ZHPDiag maintenant ... ;)
0
etienne
 
et voila.

http://www.cijoint.fr/cjlink.php?file=cj201004/cijXc1QS9z.txt
0
Réponse 11 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....



Dis moi comment va le PC ... du mieux ?




puis fait ceci :


1- Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097

* clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_XPSP2-2325B39B2.zip

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser" , choisis UsbFix .


* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_XPSP2-2325B39B2.zip


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^



===============================


2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ...


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


0
etienne
 
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:28:45 le 09/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
Nom du PC: XPSP2-2325B39B2 | Utilisateur actuel: cyril (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\cyril\LOCALS~1\Temp: 2 Fichier(s), 0 Dossier(s)
Temporary Internet Files: 41 Fichier(s), 8 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 1707 Octet(s)
.
Fin à: 19:30:36, 09/04/2010
.
============== E.O.F - SCAN[1] ==============
0
Réponse 12 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ...


c'est clean du côté de Ad-R ...




Désinstalle proprement ComboFix ainsi :

Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /uninstall

( laisse l'espace entre "Combofix" et "/uninstall" )

-> Valide et laisse faire ....





Puis fait ce qui suit dans l'ordre :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !


> Enfin clique en bas sur "Nettoyer" .


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- On va utiliser AntiVir ainsi :


mets le à jour si besoin .


Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes :
>secteur d'amorçage lecteurs de rech.
>Contrôler secteurs d'amorçage maître
>Suivre les liens symboliques
>Rech.Rootkit au dém. de la recherche
et décoche :
ignorer les fichiers hors ligne

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************



Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...

> poste moi le rapport obtenu ... Aide toi bien du tuto ;)


0
etienne
 
ZHPFix v1.12.3083 by Nicolas Coolman - Rapport de suppression du 09/04/2010 20:22:30
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\SEAF => Fichier supprimé au reboot
C:\UsbFix => Supprimé et mis en quarantaine

Fichier :
c:\documents and settings\cyril\bureau\usbfix.exe => Supprimé et mis en quarantaine
c:\usbfix.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
O63 - Logiciel: SEAF By C_XX => Logiciel supprimé avec succès
O63 - Logiciel: ZHPFix 1.12 => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix - (El Desaparecido) => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 2
Logiciel : 4
Autre : 0


End of the scan
0
etienne
 
Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 9 avril 2010 21:10

La recherche porte sur 1985194 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : XPSP2-2325B39B2

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 09/04/2010 11:21:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:21:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:21:52
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 11:21:54
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 11:21:54
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:21:54
VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 11:21:54
VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 11:21:54
VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 11:21:54
VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 11:21:54
VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 11:21:54
VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 11:21:54
VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 11:21:54
VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 11:21:54
VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 11:21:54
VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 11:21:54
VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 11:21:54
VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 11:21:54
VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 11:21:54
VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 11:21:54
VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 11:21:54
VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 11:21:54
VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 11:21:54
VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 11:21:54
VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 11:21:54
VBASE024.VDF : 7.10.5.234 202240 Bytes 26/03/2010 11:21:54
VBASE025.VDF : 7.10.5.254 187904 Bytes 30/03/2010 11:21:54
VBASE026.VDF : 7.10.6.18 130560 Bytes 01/04/2010 11:21:54
VBASE027.VDF : 7.10.6.34 136192 Bytes 06/04/2010 11:21:54
VBASE028.VDF : 7.10.6.44 232448 Bytes 07/04/2010 11:21:54
VBASE029.VDF : 7.10.6.45 2048 Bytes 07/04/2010 11:21:54
VBASE030.VDF : 7.10.6.46 2048 Bytes 07/04/2010 11:21:54
VBASE031.VDF : 7.10.6.52 72704 Bytes 09/04/2010 11:21:54
Version du moteur : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 09/04/2010 11:21:54
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 09/04/2010 11:21:54
AESCN.DLL : 8.1.5.0 127347 Bytes 09/04/2010 11:21:54
AESBX.DLL : 8.1.2.1 254323 Bytes 09/04/2010 11:21:54
AERDL.DLL : 8.1.4.3 541043 Bytes 09/04/2010 11:21:54
AEPACK.DLL : 8.2.1.1 426358 Bytes 09/04/2010 11:21:54
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 09/04/2010 11:21:54
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 09/04/2010 11:21:54
AEHELP.DLL : 8.1.11.3 242039 Bytes 09/04/2010 11:21:54
AEGEN.DLL : 8.1.3.6 373108 Bytes 09/04/2010 11:21:54
AEEMU.DLL : 8.1.1.0 393587 Bytes 09/04/2010 11:21:54
AECORE.DLL : 8.1.13.1 188790 Bytes 09/04/2010 11:21:54
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 09/04/2010 11:21:54
AVREP.DLL : 8.0.0.7 159784 Bytes 09/04/2010 11:21:54
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09/04/2010 11:21:52
RCTEXT.DLL : 9.0.73.0 88321 Bytes 09/04/2010 11:21:52

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : vendredi 9 avril 2010 21:10

La recherche d'objets cachés commence.
'27927' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'25' processus ont été contrôlés avec '25' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '46' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'D:\'


Fin de la recherche : vendredi 9 avril 2010 21:41
Temps nécessaire: 30:34 Minute(s)

La recherche a été effectuée intégralement

2680 Les répertoires ont été contrôlés
326739 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
326738 Fichiers non infectés
2274 Les archives ont été contrôlées
1 Avertissements
1 Consignes
27927 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Réponse 13 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
nickel ...


c'est clean ... ^^


on finalise dans l'ordre :


1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Adobe Reader à jour > v 9.3.1


-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


============================

2- télécharge et installe la console Java ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


============================

3- Si ta version de Windows est légitime, fais une mise à jours de ton Système via panneau de config / "Windows Update" :
-> fais toutes les mises à jour disponibles, surtout les dites "critiques" et "importantes" ( SP3 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

-> il faudra sûrement recommencer l'opération plusieurs fois pour que tout soit fait !

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note :
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


============================

4- une fois tout ceci fait , utilise Hijackthis ainsi :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

> !! Déconnecte toi et ferme toutes tes applications en cours !!

Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Poste le rapport généré pour analyse ...

0
etienne
 
bonsoir,
dans le panneau de configuration, il n'y a pas l'icone Java.
ai-je mal fait quelque chose?

cordialement
0
etienne
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:38, on 09/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
Réponse 14 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


dans le panneau de configuration, il n'y a pas l'icone Java.

> soit au prochain reboot du PC il y sera .
> soit ton paneau de config n'est pas en "affichage classique" et c'est pour cela qu'il n'apparait pas dans cette première fenêtre .



J'en déduit donc que ta version de Windows est bien priraté ( vu que ton systeme n'est pas à jour ) ...
info à prendre en compte : https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

Tu peux malgré tout remettre cette version à niveau ( en payant bien sûr ) et de bénéficier des maj ... plus d'info ici > https://www.commentcamarche.net/faq/4550-windows-legaliser-windows




la suite dans l'ordre :


1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :


R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" => Adobe®Reader
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte )


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

> Poste aussi un dernier rapport Hijackthis de contrôle ...




0
etienne
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:56:36, on 10/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\cyril\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
Réponse 15 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hello,


suite et FIN dans l'ordre :



1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================


3- Fait ce check-up pour finir :

Attention : ne pas toucher au PC pendant qu'il travaille !


A-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...

*Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques ...

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas )


B-Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.




---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)





0
etienne
 
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\cyril\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\cyril\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\cyril\Bureau\Ad-R.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\cyril\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\cyril\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\cyril\Bureau\Ad-R.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\ZHPFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Vu ...


continue ... :)
0
etienne
 
je n'ai pas pu terminer le nettoyage du disque puisque c'est une version piratée. mais pour le reste sans problème et tout semble aller bien.

je vous remercie pour avoir permi à mon PC de fonctionner encore 5 ans comme ça enfin je peux toujours réver puisqu'il a déja 5 ans.

cordialement
0
Réponse 16 / 16
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


content d'avoir pu te rendre service ...^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

=> Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

=============================================================

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

-> autre très bon soft similaire dans cette astuce :
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) :

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

Pour une meilleur sécurité lorsque tu surfes :

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

=================================================================
=> Rappel sur les principales causes d'infection :

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks :
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/


* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ):
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
tutoriels ici :
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) >
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilà ...


Bonne suite à toi .... =)


A+

0

Discussions similaires

Page bleue : your PC ran into a problem and needs to restart
pitchalou -
Malekal_morte- -

2 réponses