HELP !!! Infection - Win32:Qandr [Rtk] -Fermé

Question

Bonjour à tous !

d'avance merci pour votre aide car je vous avais déjà contacté il y a quelques années maintenant et vous m'aviez donné un sacré coup de main !

Je suis infectée semble-t-il depuis quelques minutes par un virus intitulé : Win32:Qandr [Rtk]

J'ai fait Spybot et avast mais ils ne me détectent rien et j'ai déjà mis en quarantaine une 20aine de "fichiers".
Avast me dit maintenant : "Impossible de traiter le fichier C:Windows\System32\driver	dpipe.sys" 
Lorsque je clique sur Ok une nouvelle fenetre avast alerte virus apparait.... et ceci en boucle.... le seul moyen est de ne pas cliquer sur Ok...

Au secours !

Pourriez-vous m'aider pas à pas ? (je suis pas super douée....)

Merci d'avance !

Elimie


Configuration: Windows XP / Internet Explorer 8.0

Utilisateur anonyme · Answer

Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 


https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci


@+

Elimie · Answer

Bonsoir,

merci beaucoup pour votre aide !

ZHP mouline toujours depuis votre message de 15h30... est-ce normal ?
En tous les cas, j'ai fait un enregistrement intermédiaire (la barre d'avancement est à un peu plus d'1/3 mais ne semble plus avancer)...

J'ai mis l'enregistrement de ce 1/3 ici : 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWqqdrB9.txt 

Merci !

Elimie

Elimie · Answer

Finalement ca vient de se terminer !

Le rapport est là

http://www.cijoint.fr/cjlink.php?file=cj201004/cijWqqdrB9.txt 

Merci d'avance pour votre aide !

Elimie

Utilisateur anonyme · Answer

Re

1)Désactiver le TeaTimer de Spybot (Merci à Nico): 

Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", sélectionner le mode avancé. 
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils". 
=> Cliquer sur Résident. 
=> La partie Résident comporte deux lignes qui sont normalement cochées : 

*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif. 
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. 

=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le rouvrir) 
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.


2) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici :  http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


# Double clic sur le raccourci UsbFix présent sur ton bureau. 

# Choisi l  option 2 (Suppression) 

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



@+

Elimie · Answer

Hello !

j'ai fait ca mais problème lors du redémarrage, le PC est "à moitié" planté, c'est à dire sablier dans la barre de démarrage bleue, je ne peux rien faire....

Par contre, ouverture des raccourcis de bureau possible...

Que se passe-t-il ?
Pas d'accès internet pour poster le rapport...
Je suis passée sur un autre PC pour pouvoir poster !

Help !

Merci !
Elimie

Utilisateur anonyme · Answer

Re

Arrête ton PC et redémarre le .
Tiens moi au courant ;merci

@+

Elimie · Answer

Hello !

après troisième redémarrage "à la sauvage", barre des taches déplantée, ouverture mozilla, début requête et là tout figé et tout planté à nouveau, je ne peux rien faire... 

je vais faire 4eme arrêt à la sauvage...

Ventilo se met en route, PC tourne comme si gros travail en cours...

Incompréhensible !

Help !

Merci ;o)

Utilisateur anonyme · Answer

Re

Redémarre en mode sans échec avec prise en charge réseau.
Cela marche  t' il?

@+

Elimie · Answer

Yala !

Ca fonctionne nickel en mode sans échec avec réseau (suis dessus !)

Je te poste en même temps le rapport USBfix

Merci et à dans quelques minutes pour la suite de l'aide ! ;o)


############################## | UsbFix V6.105 |

User : USER (Administrateurs) # HOME-8A984254CB
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:04:14 | 17/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100417-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 68.36 Go (54.39 Go free) [WINXP] # NTFS
D:\ -> Disque fixe local # 117.94 Go (117.87 Go free) [MES DONNEES] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque fixe local # 149.01 Go (117.66 Go free) [LACIE] # FAT32
L:\ -> Disque amovible
M:\ -> Disque amovible
N:\ -> Disque amovible
O:\ -> Disque amovible # 489.12 Mo (154.3 Mo free) # FAT

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1547161642-1500820517-1644491937-1003 
Supprimé ! D:\Recycler\S-1-5-21-1547161642-1500820517-1644491937-1003 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{fcc66686-e27d-11de-b021-0030f1f4bfd3}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[25/11/2009 22:01|--a------|0] C:\AUTOEXEC.BAT 
[25/11/2009 21:35|---hs----|212] C:\boot.ini 
[14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin 
[25/11/2009 22:01|--a------|0] C:\CONFIG.SYS 
[25/11/2009 22:01|-rahs----|0] C:\IO.SYS 
[25/11/2009 22:01|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 14:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[17/04/2010 19:09|--a------|1885] C:\UsbFix.txt 
[16/04/2009 18:52|--a------|98816] K:\50 ans Et .2.doc 
[01/07/2007 20:31|--ahs----|6144] K:\Thumbs.db 
[07/01/2008 18:58|--a------|25088] K:\PC PL Rochon.doc 
[29/01/2008 17:57|--a------|25088] K:\Studio Rouen.doc 
[24/03/2009 08:57|--a------|100864] K:\50 ans Et.doc 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# O:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_HOME-8A984254CB.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.105 ! |

Utilisateur anonyme · Answer

Re

Toujours dans ce mode sans échec;fait ceci:

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

Elimie · Answer

Hello again !

voici le rapport suite à Combofix :

ComboFix 10-04-17.01 - USER 17/04/2010  21:45:03.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.511.293 [GMT 2:00]
Lancé depuis: c:\documents and settings\USER\Bureau\asdehi.exe
AV: avast! antivirus 4.8.1368 [VPS 100417-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\USER\Application Data\avdrn.dat
c:\windows\system32\drivers\1026030160.sys
c:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-17 au 2010-04-17  ))))))))))))))))))))))))))))))))))))
.

2010-04-17 18:58 . 2010-04-17 18:58	--------	d-----w-	c:\windows\system32\SeaPort
2010-04-17 17:10 . 2010-04-17 17:10	1410	----a-w-	C:\UsbFix_Upload_Me_HOME-8A984254CB.zip
2010-04-17 16:59 . 2010-04-17 17:10	--------	d-----w-	C:\UsbFix
2010-04-17 13:37 . 2010-04-17 15:38	--------	d-----w-	c:\program files\ZHPDiag
2010-04-17 12:38 . 2008-04-13 09:40	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-17 12:38 . 2008-04-13 09:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-04-17 12:36 . 2008-04-13 09:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-04-17 12:36 . 2008-04-13 09:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-04-17 12:35 . 2008-04-13 09:41	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-03-27 09:41 . 2010-03-27 09:41	0	----a-w-	c:\windows
sreg.dat
2010-03-27 09:41 . 2010-03-27 09:41	--------	d-----w-	c:\documents and settings\USER\Local Settings\Application Data\Mozilla

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 17:17 . 2008-04-14 12:00	829440	----a-w-	c:\windows\system32\drivers\asyncmac.sys
2010-04-17 17:15 . 2010-04-17 17:15	12	----a-w-	c:\documents and settings\NetworkService\Application Data\kcmdte.dat
2010-04-14 19:09 . 2009-12-16 17:30	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-09 17:35 . 2010-02-12 15:31	--------	d-----w-	c:\documents and settings\USER\Application Data\vlc
2010-03-30 10:34 . 2009-12-08 07:33	--------	d-----w-	c:\documents and settings\USER\Application Data\AdobeUM
2010-03-28 09:17 . 2008-04-14 12:00	81734	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2008-04-14 12:00	503570	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-12 16:05 . 2010-02-12 15:31	--------	d-----w-	c:\documents and settings\USER\Application Data\dvdcss
2010-03-10 06:16 . 2008-04-14 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 12:45 . 2009-11-25 20:39	55664	----a-w-	c:\documents and settings\USER\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-18 12:45 . 2010-02-18 12:45	--------	d-----w-	c:\documents and settings\USER\Application Data\Micro Application
2010-02-18 11:58 . 2010-02-18 11:58	--------	d-----w-	c:\program files\Micro Application
2010-02-18 11:58 . 2009-11-27 20:02	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-18 10:38 . 2010-02-18 10:38	--------	d-----w-	c:\program files\QuickTime
2010-02-18 10:38 . 2010-02-18 10:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\QuickTime
2010-02-17 07:25 . 2010-02-17 07:25	--------	d-----w-	c:\documents and settings\USER\Application Data\Ahead
2010-02-17 07:23 . 2010-02-17 07:23	--------	d-----w-	c:\program files\Ahead
2010-02-17 07:23 . 2010-02-17 07:23	--------	d-----w-	c:\program files\Fichiers communs\Ahead
2010-02-16 19:06 . 2008-04-14 12:00	2148352	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07	2026496	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 16:59	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
.

------- Sigcheck -------

[-] 2010-04-17 17:17 . E9D8E9CEBE3C626636228C26101A14E8 . 829440 . . [------] . . c:\windows\system32\drivers\asyncmac.sys
[7] 2008-04-14 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\asyncmac.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftAP"="c:\program files\Arcadyan Wireless\NetCfgWizard.exe" [2004-02-17 536576]
"Wireless SoftAP"="c:\program files\Arcadyan Wireless\Configuration\SoftAp.exe" [2004-02-17 667648]
"SoundMan"="SOUNDMAN.EXE" [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-04-06 2805248]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-18 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\USER\Menu D'marrer\Programmes\D'marrage\
monxga32.exe [2008-4-14 31232]
Notification de cadeaux MSN.lnk - c:\documents and settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-12-9 135680]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-12-15 1585152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/12/2009 14:51 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/12/2009 12:42 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/12/2009 12:42 20560]
S2 PCTWPASV;SoftAP WPA Authenticator Service;c:\program files\Arcadyan Wireless\pctwpasv.exe [30/01/2004 14:59 204800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-04-17 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-11 21:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {5D1B0631-C74A-453B-9597-D24A4D8240C3} = 212.27.40.240,212.27.40.241
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091210075554
FF - ProfilePath - c:\documents and settings\USER\Application Data\Mozilla\Firefox\Profiles\yzee1wkq.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 21:48
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-04-17  21:50:22
ComboFix-quarantined-files.txt  2010-04-17 19:50

Avant-CF: 58 526 093 312 octets libres
Après-CF: 58 657 189 888 octets libres

- - End Of File - - 1AEB33121C87B96D3C2EFC2DD9FC74AD

A tout de suite !

Merci !

Elimie qui galère !

Elimie · Answer

Je dois y aller, à demain matin pour la suite !

Merci pour tout

Elimie

Utilisateur anonyme · Answer

Re

toujours dans ce mode;

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's. 

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+

Elimie · Answer

Bonjour !

voici le rapport suite à Malaware :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4003

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

18/04/2010 09:33:50
mbam-log-2010-04-18 (09-33-50).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 136747
Temps écoulé: 13 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\1026030160.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{60F65446-E001-483D-ADF1-D3BF4E42E4BF}\RP113\A0012236.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{60F65446-E001-483D-ADF1-D3BF4E42E4BF}\RP113\A0012254.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\asyncmac.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


Par contre, le PC bloque tjs lors du redémarrage en mode normal (la barre des tâches est occupée et lors de l'ouverture d'une fenêtre mozilla, après un clic ou deux : "mozilla ne répond pas" et l'extinction sauvage est la seule solution...)

Merci !

La suite dans quelques minutes !

Elimie

Utilisateur anonyme · Answer

Bonjour En mode sans échec avec prise en charge réseau;fait ceci: |==>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur/!\<==| |===========>il est fort déconseillé de le transposer sur un autre ordinateur !<==========| ----------------------------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : * Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) * Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Driver:: asyncmac Rootkit :: c:\windows\system32\drivers\asyncmac.sys File:: Folder:: Services:: Netsvc:: Registry:: ----------------------------------------------------------------- * Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt * Quitte le Bloc Notes * Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt @+

Elimie · Answer

Voici le rapport suite au scan combofix comme conseillé :

ComboFix 10-04-17.02 - USER 18/04/2010  10:27:07.2.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.511.186 [GMT 2:00]
Lancé depuis: c:\documents and settings\USER\Bureau\asdehi.exe
Commutateurs utilisés :: c:\documents and settings\USER\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100417-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\asyncmac.sys était absent 
Copie restaurée à partir de - c:\windows\system32\dllcache\asyncmac.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASYNCMAC
-------\Service_AsyncMac


(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-18 au 2010-04-18  ))))))))))))))))))))))))))))))))))))
.

2010-04-18 08:29 . 2008-04-14 12:00	14336	----a-w-	c:\windows\system32\drivers\asyncmac.sys
2010-04-18 07:16 . 2010-04-18 07:16	--------	d-----w-	c:\documents and settings\USER\Application Data\Malwarebytes
2010-04-18 07:16 . 2010-03-29 22:46	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-18 07:16 . 2010-04-18 07:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-18 07:16 . 2010-04-18 07:16	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-18 07:16 . 2010-03-29 22:45	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-17 18:58 . 2010-04-17 18:58	--------	d-----w-	c:\windows\system32\SeaPort
2010-04-17 17:10 . 2010-04-17 17:10	1410	----a-w-	C:\UsbFix_Upload_Me_HOME-8A984254CB.zip
2010-04-17 16:59 . 2010-04-17 17:10	--------	d-----w-	C:\UsbFix
2010-04-17 13:37 . 2010-04-17 15:38	--------	d-----w-	c:\program files\ZHPDiag
2010-04-17 12:38 . 2008-04-13 09:40	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-17 12:38 . 2008-04-13 09:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-04-17 12:36 . 2008-04-13 09:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-04-17 12:36 . 2008-04-13 09:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-04-17 12:35 . 2008-04-13 09:41	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-03-27 09:41 . 2010-03-27 09:41	0	----a-w-	c:\windows
sreg.dat
2010-03-27 09:41 . 2010-03-27 09:41	--------	d-----w-	c:\documents and settings\USER\Local Settings\Application Data\Mozilla

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 17:15 . 2010-04-17 17:15	12	----a-w-	c:\documents and settings\NetworkService\Application Data\kcmdte.dat
2010-04-17 12:29 . 2010-04-17 12:29	12	----a-w-	c:\windows\system32\config\systemprofile\Application Data\kcmdte.dat
2010-04-14 19:09 . 2009-12-16 17:30	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-09 17:35 . 2010-02-12 15:31	--------	d-----w-	c:\documents and settings\USER\Application Data\vlc
2010-03-30 10:34 . 2009-12-08 07:33	--------	d-----w-	c:\documents and settings\USER\Application Data\AdobeUM
2010-03-28 09:17 . 2008-04-14 12:00	81734	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2008-04-14 12:00	503570	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-12 16:05 . 2010-02-12 15:31	--------	d-----w-	c:\documents and settings\USER\Application Data\dvdcss
2010-03-10 06:16 . 2008-04-14 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 12:45 . 2009-11-25 20:39	55664	----a-w-	c:\documents and settings\USER\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-18 12:45 . 2010-02-18 12:45	--------	d-----w-	c:\documents and settings\USER\Application Data\Micro Application
2010-02-18 11:58 . 2010-02-18 11:58	--------	d-----w-	c:\program files\Micro Application
2010-02-18 11:58 . 2009-11-27 20:02	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-18 10:38 . 2010-02-18 10:38	--------	d-----w-	c:\program files\QuickTime
2010-02-18 10:38 . 2010-02-18 10:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\QuickTime
2010-02-16 19:06 . 2008-04-14 12:00	2148352	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07	2026496	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-03-12 16:59	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-09 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftAP"="c:\program files\Arcadyan Wireless\NetCfgWizard.exe" [2004-02-17 536576]
"Wireless SoftAP"="c:\program files\Arcadyan Wireless\Configuration\SoftAp.exe" [2004-02-17 667648]
"SoundMan"="SOUNDMAN.EXE" [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-04-06 2805248]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-02-18 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\USER\Menu D'marrer\Programmes\D'marrage\
monxga32.exe [2008-4-14 31232]
Notification de cadeaux MSN.lnk - c:\documents and settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-12-9 135680]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-12-15 1585152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/12/2009 14:51 691696]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09/12/2009 12:42 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/12/2009 12:42 20560]
S2 PCTWPASV;SoftAP WPA Authenticator Service;c:\program files\Arcadyan Wireless\pctwpasv.exe [30/01/2004 14:59 204800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-04-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-11 21:18]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {5D1B0631-C74A-453B-9597-D24A4D8240C3} = 212.27.40.240,212.27.40.241
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20091210075554
FF - ProfilePath - c:\documents and settings\USER\Application Data\Mozilla\Firefox\Profiles\yzee1wkq.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-18 10:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1452)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-04-18  10:34:22 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-04-18 08:34
ComboFix2.txt  2010-04-17 19:50

Avant-CF: 58 609 909 760 octets libres
Après-CF: 58 493 509 632 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 106221493163EE3F232EEE7A67EBDED8


A tout de suite !

Elimie

Utilisateur anonyme · Answer

Re

? Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

? Clique sur " parcourir ", cherche le premier  fichier ci dessous : 

c:\documents and settings\NetworkService\Application Data\kcmdte.dat  
  
c:\windows\system32\config\systemprofile\Application Data\kcmdte.dat    


? Clique sur Send File. 

? Un rapport va s'élaborer ligne à ligne. 

? Attends la fin. Il doit comprendre la taille du fichier envoyé. 

? Sauvegarde le rapport avec le bloc-notes. 

? Copie le dans ta réponse. 

(!) Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyser le fichier maintenant


Procède de même pour le deuxième fichier;merci

@+

Elimie · Answer

Voilà ce que ca donne :

 Fichier kcmdte.dat reçu le 2010.04.18 08:59:16 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.04.18	-
AhnLab-V3	5.0.0.2	2010.04.18	-
AntiVir	7.10.6.115	2010.04.16	-
Antiy-AVL	2.0.3.7	2010.04.16	-
Authentium	5.2.0.5	2010.04.16	-
Avast	4.8.1351.0	2010.04.17	-
Avast5	5.0.332.0	2010.04.17	-
AVG	9.0.0.787	2010.04.17	-
BitDefender	7.2	2010.04.18	-
CAT-QuickHeal	10.00	2010.04.17	-
ClamAV	0.96.0.3-git	2010.04.18	-
Comodo	4635	2010.04.18	-
DrWeb	5.0.2.03300	2010.04.18	-
eSafe	7.0.17.0	2010.04.15	-
eTrust-Vet	35.2.7431	2010.04.17	-
F-Prot	4.5.1.85	2010.04.17	-
F-Secure	9.0.15370.0	2010.04.16	-
Fortinet	4.0.14.0	2010.04.17	-
GData	19	2010.04.18	-
Ikarus	T3.1.1.80.0	2010.04.18	-
Jiangmin	13.0.900	2010.04.18	-
Kaspersky	7.0.0.125	2010.04.18	-
McAfee	5.400.0.1158	2010.04.18	-
McAfee-GW-Edition	6.8.5	2010.04.18	-
Microsoft	1.5605	2010.04.18	-
NOD32	5037	2010.04.18	-
Norman	6.04.11	2010.04.16	-
nProtect	2010-04-18.01	2010.04.18	-
Panda	10.0.2.7	2010.04.17	-
PCTools	7.0.3.5	2010.04.18	-
Prevx	3.0	2010.04.18	-
Rising	22.43.06.02	2010.04.18	-
Sophos	4.52.0	2010.04.18	-
Sunbelt	6188	2010.04.17	-
Symantec	20091.2.0.41	2010.04.18	-
TheHacker	6.5.2.0.264	2010.04.18	-
TrendMicro	9.120.0.1004	2010.04.15	-
VBA32	3.12.12.4	2010.04.15	-
ViRobot	2010.4.17.2282	2010.04.17	-
VirusBuster	5.0.27.0	2010.04.17	-
Information additionnelle
File size: 12 bytes
MD5...: 7269e577434a90edc97adec52154d659
SHA1..: 25d247009d4af0d1f72cc47edd16ae2cc96a3872
SHA256: 88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766
ssdeep: 3:IutKyn:Iu4y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Pour le deuxième :

ichier kcmdte.dat reçu le 2010.04.18 09:02:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.04.18	-
AhnLab-V3	5.0.0.2	2010.04.18	-
AntiVir	7.10.6.115	2010.04.16	-
Antiy-AVL	2.0.3.7	2010.04.16	-
Authentium	5.2.0.5	2010.04.16	-
Avast	4.8.1351.0	2010.04.17	-
Avast5	5.0.332.0	2010.04.17	-
AVG	9.0.0.787	2010.04.17	-
BitDefender	7.2	2010.04.18	-
CAT-QuickHeal	10.00	2010.04.17	-
ClamAV	0.96.0.3-git	2010.04.18	-
Comodo	4635	2010.04.18	-
DrWeb	5.0.2.03300	2010.04.18	-
eSafe	7.0.17.0	2010.04.15	-
eTrust-Vet	35.2.7431	2010.04.17	-
F-Prot	4.5.1.85	2010.04.17	-
F-Secure	9.0.15370.0	2010.04.16	-
Fortinet	4.0.14.0	2010.04.17	-
GData	19	2010.04.18	-
Ikarus	T3.1.1.80.0	2010.04.18	-
Jiangmin	13.0.900	2010.04.18	-
Kaspersky	7.0.0.125	2010.04.18	-
McAfee	5.400.0.1158	2010.04.18	-
McAfee-GW-Edition	6.8.5	2010.04.18	-
Microsoft	1.5605	2010.04.18	-
NOD32	5037	2010.04.18	-
Norman	6.04.11	2010.04.16	-
nProtect	2010-04-18.01	2010.04.18	-
Panda	10.0.2.7	2010.04.17	-
PCTools	7.0.3.5	2010.04.18	-
Prevx	3.0	2010.04.18	-
Rising	22.43.06.02	2010.04.18	-
Sophos	4.52.0	2010.04.18	-
Sunbelt	6188	2010.04.17	-
Symantec	20091.2.0.41	2010.04.18	-
TheHacker	6.5.2.0.264	2010.04.18	-
TrendMicro	9.120.0.1004	2010.04.15	-
VBA32	3.12.12.4	2010.04.15	-
ViRobot	2010.4.17.2282	2010.04.17	-
VirusBuster	5.0.27.0	2010.04.17	-
Information additionnelle
File size: 12 bytes
MD5...: 7269e577434a90edc97adec52154d659
SHA1..: 25d247009d4af0d1f72cc47edd16ae2cc96a3872
SHA256: 88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766
ssdeep: 3:IutKyn:Iu4y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Unknown!

Par contre je n'ai pas compris ce que signifie "il doit comprendre la taille du fichier envoyé"

Tout ceci t'éclaire-t-il ?

A tout de suite

Elimie

Utilisateur anonyme · Answer

Re

Ok ;rien de ce côté.

Essaie de redémarrer ton PC en mode normal.
Tiens moi au courant.

@+

Elimie · Answer

Ok à tout de suite !

Elimie

Elimie · Answer

Raté....

suis à nouveau en mode sans échec

Voilà ce qui se passe en mode normal :

- Ouverture d'une fenêtre "Windows Genuine Advantage" au démarrage (elle était là avant infection mais ne posait pas de problème avant. Elle est apparue lors du dernier formatage du PC

Lors de l'ouverture de windows, la barre des tâches est déjà occupée et inaccessible (sablier)

- Tentative de CTRL+ALT+SUPP pour supprimer windows genuine advantage qui une fois fermé reste dans la barre des taches qui est tjs occupée => Rien

- Démarrage mozilla
- Requête cmt ca marche ds google
- Début chargement de la page il me dit "transfert de données depuis ak.bluestreak.com"
- Planté, plus rien, la page ne charge plus
- Pas fermeture de la fenetre avec la croix
- Clic sur le tiret ferme la fenetre (??)
- Plus accès à rien sur le bureau
- Perte totale de la main
- Arrêt sauvage
- Mode sans échec et me voilà de nouveau !!!

Arf.... ca vient d'où ??? Il se passe quoi ???

Merci encore pour ton aide !

Elimie

Utilisateur anonyme · Answer

Re

En mode sans échec avec prise en charge réseau:

1)Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnectes toi et fermes toute tes applications en cours ! 

Double cliques sur "OTMoveIt" pour ouvrir le programme. 
Puis copies ce qui se trouve en  gras 
ci-dessous: 


:Processes

:Services 


:Reg

:Files
c:\windows\Tasks\WGASetup.job
    
:Commands 
 [purity]
 [emptytemp] 
 


et colles le dans le cadre de gauche de OTMoveIt3 : 
Paste Instructions for Items to be Moved. 
(ne touche à rien d'autre !) 

-> cliques sur MoveIt! pour lancer la suppression. 
-> laisses travailler l'outil ... 

(Note : ton bureau va disparaître puis réapparaître, c'est normal.) 

-> Une fois finis, un petite fenêtre s'ouvre : cliques sur " Yes " . 

Ton PC va redémarrer de lui même ... 
-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"



2)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche):    http://pagesperso-orange.fr/NosTools/tuto_adr_2.html

3)Réinitialiser les paramètres par défaut FireFox.
Outils>>Options>>>Onglet général>>>Bouton "restaurer la configuration par défaut"

Poste moi les rapports au fur et à mesure;merci
@+

Elimie · Answer

Rapport OTM :

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
c:\windows\Tasks\WGASetup.job moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: USER
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 327706 bytes
->FireFox cache emptied: 36082986 bytes
->Flash cache emptied: 7407 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 4928000 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 42.00 mb
 
 
OTM by OldTimer - Version 3.1.10.2 log created on 04182010_121849

Je fais la suite !

Merci !

A tout de suite !

Elimie

Elimie · Answer

Voici le second rapport :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 12:26:35 le 18/04/2010 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 3 - X86
Nom du PC: HOME-8A984254CB | Utilisateur actuel: USER (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\USER\..\yzee1wkq.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\USER\Bureau
C:\Documents and Settings\USER\..\yzee1wkq.default\prefs.js - browser.startup.homepage: hxxp://google.fr/
C:\Documents and Settings\USER\..\yzee1wkq.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
Temporary Internet Files: 2 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2355 Octet(s)
.
Fin à: 12:28:25, 18/04/2010
.
============== E.O.F - CLEAN[1] ==============

Je rétablis Mozilla et je tente redémarrage en mode normal

Je te tiens au courant

A tout de suite

Elimie

Elimie · Answer

Redémarrage normal planté au bout de quelques minutes mais disparition de la fenetre windows genuine advantage (amélioration ?)... on avance... petit à petit

Par contre barre des taches tjs occupée lors de l'ouverture de windows en mode sans échec et plantage mozilla au bout de quelques clics

A tout de suite pour la suite !

Merci encore pour ton aide pas à pas 

Elimie

Utilisateur anonyme · Answer

Re

Qu'entends tu par:
Par contre barre des taches tjs occupée lors de l'ouverture de windows en mode sans échec  ?

Toujours en MSE fait ceci:

Télécharge le programme : Gmer à cette adresse http://www.gmer.net/ clique sur le bouton Download Exe.
Le fichier aura un nom aléatoire.

Déconnecte toi d'Internet si possible et ferme tous les programmes.
Double-clic sur l'exécutable pour le lancer
IMPORTANT: Si une alerte de ton antivirus apparaît, laisse le s'exécuter.
Clic sur l'onglet "rootkit"
A droite, décoche "Registry"
Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-notes et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

@+

Elimie · Answer

Le lien de téléchargement ne fonctionne pas

"404 not found", je suis bloquée

J'entends par:
Par contre barre des taches tjs occupée lors de l'ouverture de windows en mode sans échec 
que dès que je passe dessus avec la souris, il y a le sablier et je ne peux cliquer sur rien ni démarrer ni les icones actives à droite, rien du tout...

Utilisateur anonyme · Answer

Re

La virgule à la fin en trop ;o))
http://www.gmer.net/

@+

Elimie · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 15:19:34
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\USER\LOCALS~1\Temp\pxpdqpoc.sys


---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[1872] ntdll.dll!LdrLoadDll  7C9263C3 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 15:35:25
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\USER\LOCALS~1\Temp\pxpdqpoc.sys


---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[1872] ntdll.dll!LdrLoadDll  7C9263C3 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

Je crois que je vais faire une restauration à la date de vendredi...
Non ?

A tout de suite

Elimie

Utilisateur anonyme · Answer

Re

1er constat qui pourrait expliquer ce lag au démarrage:Total RAM: 511.3 MB (9% free)
512 de RAM est un peu juste pour XP et il ne reste que 9% peut être moins maintenant.

Commençons par arrêter un bon nombre de programmes en démarrage automatique;pour cela :

> Lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous  (et rien d'autre !) : 

O4 - HKLM\..\Run: [NeroCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe    
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe    
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe    
O4 - HKCU\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe    
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O4 - Global Startup: monxga32.exe . (.Pas de propriétaire - Pas de description.)  -- C:\Documents And Settings\USER\Menu Démarrer\Programmes\Démarrage\monxga32.exe    
O4 - Global Startup: Notification de cadeaux MSN.lnk . (.Microsoft Corporation - Notification de cadeaux MSN.)  -- C:\Documents and Settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe    


 
 

Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK] . 
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 

Pense à réactiver tes défenses !...


 Tiens moi au courant
@+

Elimie · Answer

Hello !

j'ai fait ce que j'ai pu sur le PC familial mais je ne pouvais pas rester...

Ils vont formater je pense...

Merci pour ton aide

A une prochaine

Utilisateur anonyme · Answer

Re

Post résolu;alors?

HELP !!! Infection - Win32:Qandr [Rtk] -

32 réponses

Discussions similaires

Newsletters