Infection autorun

Catitousou Messages postés 9 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
J'ai un autorun et l'antivirus est avira

5 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    fais ceci

    1)

    Téléchargez USBFIX de El Desaparecido, C_xx

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou
    https://www.ionos.fr/?affiliate_id=77097

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    Double clic sur le raccourci UsbFix présent sur le bureau .

    Choisir l'option2 suppression
    (d'autres options disponibles, voir le tutoriel).
    Laissez travailler l'outil.
    Le menu démarrer et les icônes vont disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

    Il est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    ..........................

    2)

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « NETTOYER »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    ...........................

    3)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    3
  2. Utilisateur anonyme
     
    Bonjour

    Merci de respecter la Charte

    http://www.commentcamarche.net/ccmguide/ccmcharte-ecriture.p­hp3#ecriture
    Il est également demandé aux utilisateurs de s'appliquer
    lors de la rédaction de leur message en évitant au possible
    les abréviations (type SMS) et en vérifiant l'orthographe.
    Un message rédigé en langage abrégé ou difficile à lire compte
    tenu du nombre de fautes d'orthographe, un message rédigé en Majuscule ;
    les messages rédigés dans une autre langue que le français, ceux comportant des fautes de langage manifestement volontaires et nombreuses sont susceptibles
    d'être supprimés afin de garantir une qualité de
    lecture des échanges.
    .

    Pourriez-vous, s'il vous plait, reformuler votre problème avec des phrases complètes; bonjour et merci sont aussi des mots bien appréciés ici, puisque notre seul salaire.
    http://www.technicland.com/malpolitus.swf
    http://img139.imageshack.us/img139/8973/notdistrimq9.jpg
    http://users.elite.net/runner/jennifers/hello.htm#E
    http://nsa07.casimages.com/img/2009/08/16/090816113950717497­.jpg
    0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour Catitousou

    il est vrai qu'un bonjour et un peu d'explication sont toujours les bienvenus

    rapport ZHP recu
    http://www.cijoint.fr/cj201004/cijBQC4NJh.txt

    tout ce passe donc ici

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt


    Je cherche beaucoup...et maintenant je trouve !
    (sourire)
    0
    1. Utilisateur anonyme
       
      bonjour comment tu a u le rapport ZHP ?
      0
    2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
       
      lu'

      bonjour comment tu a u le rapport ZHP ?


      Un coup de baguette magique :)
      0
    3. Utilisateur anonyme
       
      par MP

      je viens de comprendre
      0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Catitousou

    il faut poster ici

    ComboFix 10-04-10.02 - Salma 11/04/2010 14:12:06.1.1 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.118 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Salma\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\autorun.inf
    c:\docume~1\Salma\LOCALS~1\Temp\IadHide5.dll
    c:\documents and settings\Salma\Application Data\Dossier de téléchargement Share-to-Web
    c:\documents and settings\Salma\Local Settings\Temp\IadHide5.dll
    c:\windows\system32\lsprst7.dll
    c:\windows\system32\nsprs.dll
    c:\windows\system32\serauth1.dll
    c:\windows\system32\serauth2.dll
    c:\windows\system32\ssprs.dll
    E:\autorun.inf

    c:\windows\system32\userinit.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-11 au 2010-04-11 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-11 12:55 . 2010-04-11 12:55 -------- d-----w- c:\documents and settings\Salma\Application Data\Dossier de téléchargement Share-to-Web
    2010-04-11 12:55 . 2010-04-11 12:55 -------- d-----w- c:\documents and settings\Salma\Application Data\Dossier de téléchargement Share-to-Web
    2010-04-11 12:55 . 2010-04-11 12:55 -------- d-----w- c:\windows\system32\wbem\snmp
    2010-04-11 12:55 . 2010-04-11 12:55 -------- d-----w- c:\windows\system32\xircom
    2010-04-11 12:55 . 2010-04-11 12:55 -------- d-----w- c:\program files\microsoft frontpage
    2010-04-11 12:42 . 2004-08-19 15:10 25088 ----a-w- c:\windows\system32\userinit.exe
    2010-04-04 20:49 . 2010-04-04 20:49 -------- d-----w- c:\program files\Fichiers communs\xing shared
    2010-04-04 20:01 . 2010-04-04 20:03 -------- d-----w- C:\ToolBar SD
    2010-04-03 19:33 . 2010-04-03 19:37 -------- d-----w- c:\program files\ZHPDiag
    2010-04-03 16:32 . 2010-04-03 16:32 -------- d-----w- c:\documents and settings\Salma\Application Data\Avira
    2010-04-03 16:24 . 2010-04-11 08:21 -------- d-----w- c:\windows\system32\NtmsData
    2010-04-03 16:17 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-04-03 16:17 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2010-04-03 16:17 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2010-04-03 16:17 . 2010-04-03 16:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2010-04-03 15:26 . 2010-04-03 15:26 -------- d-----w- c:\program files\AskBarDis
    2010-03-31 20:14 . 2004-09-16 10:49 9216 ----a-w- c:\windows\system32\tpfmon.dll
    2010-03-31 20:14 . 2001-06-23 21:50 18049 ----a-w- c:\windows\system32\sfx32mon.dll
    2010-03-31 20:14 . 2010-03-31 20:14 -------- d-----w- c:\program files\AXMA
    2010-03-25 20:32 . 2010-03-25 20:39 21292528 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\rp\RealPlayerSPGold_fr.exe
    2010-03-25 20:31 . 2010-03-25 20:32 8405312 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
    2010-03-25 20:28 . 2010-03-25 20:28 149000 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
    2010-03-25 20:28 . 2010-03-25 20:28 10309448 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\chr\ChromeInstaller.exe
    2010-03-25 20:24 . 2010-03-25 20:24 79368 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\RUP\vista.exe
    2010-03-25 20:24 . 2010-03-25 20:24 64000 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
    2010-03-25 20:24 . 2010-03-25 20:24 52288 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
    2010-03-25 20:24 . 2010-03-25 20:24 50688 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
    2010-03-25 20:24 . 2010-03-25 20:24 49152 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
    2010-03-25 20:24 . 2010-03-25 20:24 118784 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\RUP\inst_config\compat.dll
    2010-03-25 12:17 . 2010-03-25 12:17 -------- d-----w- c:\program files\Rainbow Technologies
    2010-03-23 07:06 . 1998-05-19 13:33 396800 ----a-w- c:\windows\system32\msfrt40.dll
    2010-03-23 07:06 . 2001-09-12 13:32 1335584 ----a-w- c:\windows\system32\sbe6_32.dll
    2010-03-23 07:06 . 1996-01-11 23:00 722192 ----a-w- c:\windows\system32\vb40032.dll
    2010-03-23 07:05 . 1997-04-13 12:23 302592 ----a-w- c:\windows\uninst.exe
    2010-03-23 07:03 . 2010-04-07 19:42 -------- d-----w- c:\program files\SPSS
    2010-03-23 07:03 . 1997-04-13 12:23 302592 ----a-w- c:\windows\unin040c.exe
    2010-03-18 04:35 . 2010-03-18 04:35 -------- d-----w- c:\documents and settings\Salma\Local Settings\Application Data\SPSS 15.0 for Windows
    2010-03-18 04:16 . 2010-03-18 04:16 -------- d-----w- c:\documents and settings\Salma\Local Settings\Application Data\Ahead
    2010-03-12 22:07 . 2010-03-12 22:07 -------- d-----w- c:\windows\system32\LogFiles

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-08 11:20 . 2009-11-13 12:35 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2010-04-04 20:49 . 2009-11-13 12:42 -------- d-----w- c:\program files\Real
    2010-04-04 20:47 . 2009-12-19 07:59 -------- d-----w- c:\program files\Google
    2010-04-03 17:42 . 2010-03-08 14:33 443912 ----a-w- c:\documents and settings\Salma\Application Data\Real\Update\setup3.10\setup.exe
    2010-03-28 06:39 . 2001-10-02 22:21 49054 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-28 06:39 . 2001-10-02 22:21 368314 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-26 06:32 . 2009-11-13 11:01 104440 ----a-w- c:\documents and settings\Salma\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-03-09 15:32 . 2010-03-09 15:32 -------- d-----w- c:\program files\Registrar Registry Manager
    2010-03-08 14:44 . 2009-11-13 12:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-02-19 17:21 . 2010-02-19 17:21 1024 ----a-w- c:\windows\system32\clauth2.dll
    2010-02-19 17:21 . 2010-02-19 17:21 1024 ----a-w- c:\windows\system32\clauth1.dll
    2010-02-19 17:18 . 2010-02-19 17:18 1025 ----a-w- c:\windows\system32\sysprs7.dll
    2010-02-16 11:24 . 2009-11-13 12:37 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-02-12 14:37 . 2010-02-12 14:37 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
    2010-02-12 14:37 . 2010-02-12 14:37 -------- d-----w- c:\program files\QuickTime
    2010-02-12 14:36 . 2010-02-12 14:33 -------- d-----w- c:\program files\Kodak
    2010-02-12 14:36 . 2010-02-12 14:36 -------- d-----w- c:\program files\Fichiers communs\Kodak
    2010-02-12 14:34 . 2010-02-12 14:34 11596784 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\QUICK\QuickTimeInstaller.exe
    2010-02-12 14:34 . 2010-02-12 14:34 159881 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\CCS\CCSStop.exe
    2010-02-12 14:34 . 2010-02-12 14:34 69632 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\Ksu\KSUStop.exe
    2010-02-12 14:33 . 2010-02-12 14:33 401408 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_0_2932b1\EasyShrx.Dll
    2010-02-12 14:33 . 2010-02-12 14:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Kodak
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
    2008-08-06 13:20 279944 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "baseWINDOWS"="c:\windows\system32\wscript.exe" [2007-07-23 114688]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
    "NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
    "NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
    "StatusClient"="c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
    "TomcatStartup"="c:\program files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
    "Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
    "Adobe Reader 9.0"="c:\windows\system32\wscript.exe" [2007-07-23 114688]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-12 77824]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-04-04 202256]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"="shell32" [X]
    "nltide_3"="advpack.dll" [2009-03-08 128512]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Kodak software updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-11 16423]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
    Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2004-3-31 635019]
    WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-1-20 525664]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AutorunRemover.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\autoruns.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Avira.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\chrome.exe]
    "Debugger"=c:\program files\Internet Explorer\IEXPLORE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwin.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\firefox.exe]
    "Debugger"=c:\program files\Internet Explorer\IEXPLORE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\HijackThis.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\LaunchU3.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\MSConfig.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\mvyA.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Opera.exe]
    "Debugger"=c:\program files\Internet Explorer\IEXPLORE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\procexp.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rav.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rmvtrjan.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Safari.exe]
    "Debugger"=c:\program files\Internet Explorer\IEXPLORE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Startup CP.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Trjscan.exe]
    "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\baseWINDOWS.db

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
    backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
    2004-02-21 03:00 88363 ----a-w- c:\windows\agrsmmsg.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
    2003-10-30 13:46 192512 ----a-r- c:\program files\Apoint2K\Apoint.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
    2004-06-10 20:10 339968 ----a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    2004-08-19 15:09 15360 ------w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
    2004-08-03 19:32 208952 ----a-w- c:\windows\ime\IMJP8_1\imjpmig.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh]
    2003-09-27 04:43 184320 ------w- c:\program files\ltmoh\ltmoh.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
    2004-08-03 19:31 59392 ----a-w- c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
    2004-02-12 10:43 1019904 ----a-w- c:\program files\TOSHIBA\PadTouch\PadExe.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    2004-08-03 19:32 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    2004-08-03 19:32 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2010-04-04 20:48 202256 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "FirewallDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [03/04/2010 18:17 135336]
    S2 gupdate1ca80814a0fa51a;Service Google Update (gupdate1ca80814a0fa51a);c:\program files\Google\Update\GoogleUpdate.exe [19/12/2009 10:00 133104]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-19 07:59]

    2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-19 07:59]

    2010-04-11 c:\windows\Tasks\User_Feed_Synchronization-{F567F11B-0EFF-4D88-9DB3-3FE0BE70B306}.job
    - c:\windows\system32\msfeedssync.exe [2009-11-12 03:31]

    2010-04-04 c:\windows\Tasks\WebReg 20100404211807.job
    - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exe [2002-10-16 14:39]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.site-officiel.110mb.com/
    uWindow Title = (-[ MyLoveFaceBook.LiuYiFei@Hotmail.CoM ]-)
    uInternet Settings,ProxyOverride = <local>
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Salma\Application Data\Mozilla\Firefox\Profiles\swr1mrp5.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    AddRemove-Registrar Registry Manager 6.50 (Lite Edition) - c:\program files\Registrar Registry Manager\unwise.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-11 14:55
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\(-€|ÿÿÿÿg*€|é*9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(488)
    c:\docume~1\Salma\LOCALS~1\Temp\IadHide5.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\wpdshserviceobj.dll
    c:\windows\system32\portabledevicetypes.dll
    c:\windows\system32\portabledeviceapi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\WgaTray.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\system32\drivers\KodakCCS.exe
    c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
    c:\program files\Avira\AntiVir Desktop\avshadow.exe
    c:\windows\system32\ScsiAccess.EXE
    c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    c:\program files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-11 15:05:53 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-11 13:05

    Avant-CF: 50 832 314 368 octets libres
    Après-CF: 51 826 057 216 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - B51B7B102DB7FD07BB54669AD2307198
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    recu

    STP ne m'envoies pas les rapport en mp mais postes les ici


    Ad Remover maintenant


    ############################## | UsbFix V6.102 |

    User : Salma (Administrateurs) # TOSHIBA
    Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 22:01:48 | 11/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) M processor 1.60GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 57,94 Go (47,9 Go free) # NTFS
    E:\ -> Disque fixe local # 16,58 Go (12,82 Go free) # NTFS
    F:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    Supprimé ! C:\WINDOWS\System32\baseWINDOWS.db
    Supprimé ! C:\autorun.inf
    Supprimé ! C:\Thumbss.db
    Supprimé ! E:\autorun.inf
    Supprimé ! E:\Thumbss.db
    Supprimé ! E:\Recycler\S-1-5-21-280629983-2806775324-728298460-1006
    Supprimé ! E:\Recycler\S-1-5-21-790525478-1343024091-839522115-1003

    ################## | Registre |

    Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "baseWINDOWS"
    Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader 9.0"
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwin.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LaunchU3.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mvyA.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rmvtrjan.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trjscan.exe]
    Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
    Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
    Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

    ################## | Mountpoints2 |

    ################## | Listing des fichiers présent |

    [12/11/2009 23:09|--a------|0] C:\AUTOEXEC.BAT
    [13/11/2009 14:48|--a------|212] C:\Boot.bak
    [11/04/2010 14:06|-rahs----|282] C:\boot.ini
    [03/10/2001 00:20|-rahs----|4952] C:\Bootfont.bin
    [03/08/2004 23:00|--a------|263488] C:\cmldr
    [11/04/2010 15:05|--a------|20682] C:\ComboFix.txt
    [12/11/2009 23:09|--a------|0] C:\CONFIG.SYS
    [01/12/2009 15:33|--ah-----|264] C:\hpothb07.dat
    [01/12/2009 15:33|--ah-----|501] C:\hpothb07.tif
    [12/11/2009 23:09|-rahs----|0] C:\IO.SYS
    [12/11/2009 23:09|-rahs----|0] C:\MSDOS.SYS
    [03/08/2004 23:38|-rahs----|47564] C:\NTDETECT.COM
    [03/08/2004 23:59|-rahs----|251712] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [04/04/2010 22:02|--a------|533] C:\TB.txt
    [11/04/2010 22:05|--a------|4160] C:\UsbFix.txt

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    .................................

    Ad Remover maintenant



    Je cherche beaucoup...et maintenant je trouve !
    (sourire)
    0