Online Armor ouvre une dizaine de fenêtres.. Fermé

Question

Bonjour,
depuis quelques jours mon ordinateur "rame" sur internet. J'ai Online Armor comme parefeu et ,à l'allumage ,il ouvre une dizaine de fenêtres me signalant que :
wpv961273140516.exe
wpv.......................exe  (à chaque fois les chiffres changent ) cherche à s'ouvrir. A chaque fois je bloque tout mais je ne suis pas sûre de bien faire:la navigation internet et très lente . De plus , après extinction de l'ordi , quand je le rallume Online ouvre de nouveau tout un tas de fenêtres du même genre.
J'aimerais savoir si quelqu'un peut m'aider,
Merci d'avance

Configuration: Windows XP / Firefox 3.6.3

dédétraqué · Answer

Salut moulinsart


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++  :)

moulinsart · Answer

Merci pour cette réponse rapide;


voici les 2 rapports.

	https://www.cjoint.com/?fgsKTSZ5zj

https://www.cjoint.com/?fgsODbDFEq

dédétraqué · Answer

Salut moulinsart


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

moulinsart · Answer

Bonsoir Dédétraqué,
J'ai tenté de suivre tes instructions. Je t'envoie le rapport . Merci d'avance de ta réponse
ComboFix 10-05-05.0D - Famille 06/05/2010  21:32:16.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.266 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\dkkeka.dll

[i] ADS - svchost.exe: deleted 36352 bytes in 1 streams. /i
[i] ADS - explorer.exe: deleted 55296 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Famille\LOCALS~1\Temp\svchost.exe
c:\documents and settings\Famille\Application Data\irvlna.exe
c:\documents and settings\Famille\Application Data\wiaservg.log
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\dkkeka.dll
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\dkkeka.dll.vir
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server\uses32.dat
c:\documents and settings\Famille\secupdat.dat
C:\feed.txt
c:ecycler\S-1-5-21-0560522263-9786561162-802124044-8961
c:ecycler\S-1-5-21-1037741201-2841189230-748479159-1682
c:ecycler\S-1-5-21-2407083189-4818624242-395697645-0539
c:ecycler\S-1-5-21-2580759221-8647671346-058042094-5681
c:ecycler\S-1-5-21-5494991494-3711891659-694296645-5372
c:ecycler\S-1-5-21-8382821588-3198864869-485347101-8242
c:\windows\system32\Drivers\kvrtrxmm.sys
c:\windows\system32\drivers\protect.sys
c:\windows\system32\secupdat.dat
c:\windows\system32\userini.exe
c:\windows\system32\wbem\grpconv.exe

c:\windows\system32\grpconv.exe était absent 
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\grpconv.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF
-------\Legacy_PROTECT
-------\Service_ICF
-------\Service_protect
-------\Legacy_kvrtrxmm
-------\Service_kvrtrxmm


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-06 au 2010-05-06  ))))))))))))))))))))))))))))))))))))
.

2010-05-06 19:36 . 2008-04-14 02:34	39424	-c--a-w-	c:\windows\system32\dllcache\grpconv.exe
2010-05-06 19:36 . 2008-04-14 02:34	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-05-06 19:36 . 2010-05-06 19:38	--------	d-----w-	c:\documents and settings\Famille\Local Settings\Application Data\Windows Server
2010-05-06 16:29 . 2010-05-06 16:30	--------	d-----w-	C:sit
2010-05-04 06:08 . 2010-05-04 06:08	16384	---ha-w-	c:\documents and settings\Famille
vwkc.exe
2010-05-03 17:33 . 2010-05-03 17:36	--------	d---a-w-	C:\Navilog1
2010-05-03 17:33 . 2010-05-03 17:36	--------	d-----w-	c:\program files
avilog1
2010-05-03 16:11 . 2010-05-03 16:11	16384	---ha-w-	c:\documents and settings\Famille\hhmgur.exe
2010-04-12 22:23 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 19:24 . 2009-07-17 13:57	--------	d-----w-	c:\documents and settings\Famille\Application Data\OnlineArmor
2010-05-06 16:30 . 2008-10-26 13:49	--------	d-----w-	c:\program files\Trend Micro
2010-05-06 15:32 . 2010-05-06 15:32	155648	--sh--r-	c:\documents and settings\Famille\Application Data\yxdqln.exe
2010-05-06 15:32 . 2010-05-06 15:32	155648	--sh--r-	c:\documents and settings\Famille\Application Data\yxdqln.exe
2010-05-06 15:32 . 2004-08-05 12:00	14336	----a-w-	c:\windows\system32\svchost.exe
2010-05-03 16:54 . 2008-11-27 13:33	--------	d-----w-	c:\program files\CCleaner
2010-05-02 13:25 . 2008-09-26 13:52	--------	d-----w-	c:\documents and settings\Famille\Application Data\Skype
2010-05-02 13:03 . 2008-09-26 13:56	--------	d-----w-	c:\documents and settings\Famille\Application Data\skypePM
2010-05-02 11:22 . 2004-08-05 12:00	1037824	----a-w-	c:\windows\explorer.exe
2010-04-29 16:41 . 2010-04-29 16:42	159744	--sh--r-	c:\documents and settings\Famille\Application Data\pard.exe
2010-04-29 16:41 . 2010-04-29 16:42	159744	--sh--r-	c:\documents and settings\Famille\Application Data\pard.exe
2010-04-07 20:59 . 2008-12-12 15:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-03-26 08:33 . 2010-05-03 16:41	1496064	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-05-03 16:41	43008	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-05-03 16:41	339456	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-05-03 16:41	346112	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-11 12:34 . 2004-08-05 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-05 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-05 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-05 12:00	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-05 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 16:10 . 2007-02-23 14:05	319	----a-w-	c:\windows\system32\CRUNX.BIN
2010-02-17 12:07 . 2004-08-05 12:00	2192000	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:07 . 2004-08-04 00:48	2068864	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 04:34 . 2004-08-05 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-05 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2007-03-23 14:01 . 2007-03-23 14:00	76836	-c--a-w-	c:\program files\vp.pdf
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE	cpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache	cpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers	cpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$	cpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386	cpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE	cpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$	cpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$	cpip.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2005-12-07 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"D-Link AirPlus XtremeG DWL-G122"="c:\program files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-12-18 1556480]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2008-03-23 5519424]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

c:\documents and settings\Famille\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 20:49	7286784	----a-w-	c:\windows\system32
vcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2005-10-10 20:49	86016	----a-w-	c:\windows\system32
vmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57	282624	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-08-03 03:12	577536	-c--a-w-	c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [17/07/2009 15:56 80072]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [17/07/2009 15:56 32456]
R1 OAnet;OAnet;c:\windows\system32\drivers\oanet.sys [17/07/2009 15:56 28872]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/08/2009 17:22 108289]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [17/07/2009 15:56 5414464]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13/07/2004 13:40 48512]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-userini - c:\windows\system32\userini.exe
HKLM-Run-userini - c:\windows\system32\userini.exe
HKLM-Explorer_Run-userini - c:\windows\system32\userini.exe
SafeBoot-kvrtrxmm.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 21:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc25.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(5920)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32
vsvc32.exe
c:\windows\wanmpsvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\lvcomsx.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-06  21:48:10 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-06 19:48

Avant-CF: 4 202 430 464 octets libres
Après-CF: 4 136 222 720 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - A0B28CD8FAE885B8AD63AFDB36CCAEFE

dédétraqué · Answer

Salut moulinsart


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


-----


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

 :filefind
svchost.exe
smss.exe

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse


@++  :)

moulinsart · Answer

Rebonjour,
J'ai téléchargé les 2 fichiers mais je ne parviens pas à les les lancer ni l'un ni l'autre :une fenêtre apparaît qui me dit que "Windows ne parvient pas à accéder au fichier.Vous ne disposez peut-être pas des autorisations appropriées pour avoir accés à l'élément"!!
Je ne sais pas quoi faire.
Merci beaucoup d'essayer de m'aider.

dédétraqué · Answer

Salut moulinsart 


Es-tu en mode administrateur? Sinon essai un clique droit et choisir exécuter en tant que et administrateur dans la liste.

Voir également en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis la session Administrateur


@++   :)

moulinsart · Answer

Bonjour,
Hier soir j'ai déjà essayé de cliquer droit et d"exécuter en tant qu'administrateur mais on me demande un mot de passe dont je ne me souviens pas , je pense même ne jamais en avoir eu..
Je tente de redémarrer en mode sans échec et je te raconte tout.

moulinsart · Answer

Merci pour ta patience! 
Voici donc le rapport SystemLook:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:12 on 07/05/2010 by Famille (Administrator - Elevation successful)

========== filefind ==========

Searching for "svchost.exe"
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe	-----c 14336 bytes	[16:44 13/10/2008]	[12:00 05/08/2004] 1BD6C2F707A275CB7C16FD99FE0F31CA
C:\WINDOWS\ERDNT\cache\svchost.exe	--a--- 14336 bytes	[19:46 06/05/2010]	[15:32 06/05/2010] E4BDF223CD75478BF44567B4D5C2634D
C:\WINDOWS\ServicePackFiles\i386\svchost.exe	-----c 14336 bytes	[02:34 14/04/2008]	[02:34 14/04/2008] E4BDF223CD75478BF44567B4D5C2634D
C:\WINDOWS\system32\dllcache\svchost.exe	--a--c 14336 bytes	[12:00 05/08/2004]	[15:32 06/05/2010] E4BDF223CD75478BF44567B4D5C2634D
C:\WINDOWS\system32\svchost.exe	--a--- 14336 bytes	[12:00 05/08/2004]	[15:32 06/05/2010] E4BDF223CD75478BF44567B4D5C2634D

Searching for "smss.exe "
C:\cmdcons\SYSTEM32\SMSS.EXE	--a--- 195072 bytes	[22:55 03/08/2004]	[22:55 03/08/2004] 5F1E9A5ADF140D794E4A876E918C245D
C:\WINDOWS\$NtServicePackUninstall$\smss.exe	-----c 50688 bytes	[16:44 13/10/2008]	[12:00 05/08/2004] B4C08D31E8C2EA9D76F892052A6FCAEB
C:\WINDOWS\ServicePackFiles\i386\smss.exe	-----c 50688 bytes	[02:34 14/04/2008]	[02:34 14/04/2008] 48E430297DA757F5CC2793CCFACAD5E7
C:\WINDOWS\system32\smss.exe	--a--- 50688 bytes	[12:00 05/08/2004]	[02:34 14/04/2008] 48E430297DA757F5CC2793CCFACAD5E7

-=End Of File=-

j'ai eu du mal à lancer Gmer puis le scan a été particulièrement long mais voici le résultat
	https://www.cjoint.com/?fhsTU0ol22

dédétraqué · Answer

Salut moulinsart


- Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

 KillAll::

File::
c:\documents and settings\Famille
vwkc.exe
c:\documents and settings\Famille\hhmgur.exe
c:\documents and settings\Famille\Application Data\yxdqln.exe
c:\documents and settings\Famille\Application Data\yxdqln.exe
c:\documents and settings\Famille\Application Data\pard.exe
c:\documents and settings\Famille\Application Data\pard.exe
c:\system volume information\Whistler\svchost.exe 
c:\system volume information\Whistler\smss.exe 

Folder::
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

   * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
     Ne touche à rien tant que le scan n'est pas terminé.
   * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
   * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++   :)

moulinsart · Answer

Bonsoir Dédétraqué,
voici le rapport de scan
ComboFix 10-05-05.0D - Famille 07/05/2010  19:24:16.2.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.165 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

FILE ::
"c:\documents and settings\Famille\Application Data\pard.exe"
"c:\documents and settings\Famille\Application Data\yxdqln.exe"
"c:\documents and settings\Famille\hhmgur.exe"
"c:\documents and settings\Famille
vwkc.exe"
"c:\system volume information\Whistler\smss.exe"
"c:\system volume information\Whistler\svchost.exe"
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille\Application Data\pard.exe
c:\documents and settings\Famille\Application Data\yxdqln.exe
c:\documents and settings\Famille\hhmgur.exe
c:\documents and settings\Famille\Local Settings\Application Data\Windows Server
c:\documents and settings\Famille
vwkc.exe
c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-07 au 2010-05-07  ))))))))))))))))))))))))))))))))))))
.

2010-05-07 17:16 . 2010-05-07 17:16	--------	d-----w-	c:\program files\Conduit
2010-05-07 17:16 . 2010-05-07 17:16	--------	d-----w-	c:\documents and settings\Famille\Local Settings\Application Data\Softonic_France
2010-05-07 17:16 . 2010-05-07 17:16	--------	d-----w-	c:\documents and settings\Famille\Local Settings\Application Data\Conduit
2010-05-07 17:16 . 2010-05-07 17:16	--------	d-----w-	c:\program files\Softonic_France
2010-05-07 14:33 . 2010-05-07 14:34	--------	d-----w-	c:\documents and settings\Administrateur
2010-05-06 19:36 . 2008-04-14 02:34	39424	-c--a-w-	c:\windows\system32\dllcache\grpconv.exe
2010-05-06 19:36 . 2008-04-14 02:34	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-05-06 16:29 . 2010-05-06 16:30	--------	d-----w-	C:sit
2010-05-03 17:33 . 2010-05-03 17:36	--------	d---a-w-	C:\Navilog1
2010-05-03 17:33 . 2010-05-03 17:36	--------	d-----w-	c:\program files
avilog1
2010-04-12 22:23 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-07 17:12 . 2009-07-17 13:57	--------	d-----w-	c:\documents and settings\Famille\Application Data\OnlineArmor
2010-05-07 14:48 . 2004-08-05 12:00	80896	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-07 14:48 . 2004-08-05 12:00	501278	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-06 16:30 . 2008-10-26 13:49	--------	d-----w-	c:\program files\Trend Micro
2010-05-06 15:32 . 2004-08-05 12:00	14336	----a-w-	c:\windows\system32\svchost.exe
2010-05-03 16:54 . 2008-11-27 13:33	--------	d-----w-	c:\program files\CCleaner
2010-05-02 13:25 . 2008-09-26 13:52	--------	d-----w-	c:\documents and settings\Famille\Application Data\Skype
2010-05-02 13:03 . 2008-09-26 13:56	--------	d-----w-	c:\documents and settings\Famille\Application Data\skypePM
2010-05-02 11:22 . 2004-08-05 12:00	1037824	----a-w-	c:\windows\explorer.exe
2010-04-07 20:59 . 2008-12-12 15:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-03-26 08:33 . 2010-05-03 16:41	1496064	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-05-03 16:41	43008	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-05-03 16:41	339456	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-05-03 16:41	346112	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-16 16:11 . 2010-05-07 17:16	52224	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
2010-03-16 16:11 . 2010-05-07 17:16	101376	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
2010-03-11 12:34 . 2004-08-05 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-05 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-05 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-05 12:00	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-05 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 16:10 . 2007-02-23 14:05	319	----a-w-	c:\windows\system32\CRUNX.BIN
2010-02-17 12:07 . 2004-08-05 12:00	2192000	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:07 . 2004-08-04 00:48	2068864	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 04:34 . 2004-08-05 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-05 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2007-03-23 14:01 . 2007-03-23 14:00	76836	-c--a-w-	c:\program files\vp.pdf
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE	cpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache	cpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers	cpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$	cpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386	cpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE	cpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$	cpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$	cpip.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France	bSoft.dll" [2010-03-17 2355224]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-03-17 13:45	2355224	----a-w-	c:\program files\Softonic_France	bSoft.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France	bSoft.dll" [2010-03-17 2355224]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2005-12-07 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"D-Link AirPlus XtremeG DWL-G122"="c:\program files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-12-18 1556480]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2008-03-23 5519424]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

c:\documents and settings\Famille\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 20:49	7286784	----a-w-	c:\windows\system32
vcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2005-10-10 20:49	86016	----a-w-	c:\windows\system32
vmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57	282624	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-08-03 03:12	577536	-c--a-w-	c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [17/07/2009 15:56 80072]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [17/07/2009 15:56 32456]
R1 OAnet;OAnet;c:\windows\system32\drivers\oanet.sys [17/07/2009 15:56 28872]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/08/2009 17:22 108289]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [17/07/2009 15:56 5414464]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13/07/2004 13:40 48512]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2542115
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-07 19:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(640)
c:\windows\system32\cryptdll.dll

- - - - - - - > 'explorer.exe'(4784)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32
vsvc32.exe
c:\windows\wanmpsvc.exe
c:\windows\system32\lvcomsx.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-07  19:40:01 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-07 17:39
ComboFix2.txt  2010-05-06 19:48

Avant-CF: 4 023 975 936 octets libres
Après-CF: 4 048 666 624 octets libres

- - End Of File - - 597F229EF5C83406E44942D605489AEE

dédétraqué · Answer

Salut moulinsart


Désactive la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php


Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

Le rapport est dans le dossier ici C:\rsit


@++   :)

moulinsart · Answer

bonsoir Dédétraqué,

	https://www.cjoint.com/?fhvl27esym

voici donc le dossier.

Online Armor ne cesse de me signaler que le programme orange.fr veut changer ma "homepage". Dois-je bloquer ou autoriser ? je ne sais plus. 
Merci d'avance

dédétraqué · Answer

Salut moulinsart 


Faire un scan de ce fichier svchost.exe ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\System Volume Information\Whistler\svchost.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Faire également un scan de ce fichier :
C:\System Volume Information\Whistler\smss.exe 


@++   :)

moulinsart · Answer

Salut Dédétraqué,

Visiblement il y a la même réponse pour les 2 fichiers:Virustotal répond qu'ils sont vides!

0 bytes size received / Se ha recibido un archivo vacio

j'ai essayé plusieurs fois mais toujours la même réponse.
A moins que j'aie fait une fausse manoeuvre ?

dédétraqué · Answer

Salut moulinsart 


Télécharge de Avenger ici :
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Lance le et dans le cadre, sous input script here , copie/colle le contenu en gras ci dessous et clic sur Execute:

Files to delete:
C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe 


Le PC va re-démarrer, l'outil va travailler et créer un fichier log C:\avenger.txt, poste le contenu de ce rapport.


@++   :)

moulinsart · Answer

Bonsoir,
voici donc le dernier rapport:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\System Volume Information\Whistler\svchost.exe" deleted successfully.
File "C:\System Volume Information\Whistler\smss.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

dédétraqué · Answer

Salut moulinsart


Ok cela bon, refais avec RSIT et poste le rapport pour vérification


@++    :)

moulinsart · Answer

Bonsoir Dédétraqué,
et voici 
	https://www.cjoint.com/?fiaklDfvJL
le dernier rapport obtenu.

dédétraqué · Answer

Salut moulinsart


Télécharge Dr.Web CureIt! sur le Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique sur l'icône de drweb-cureit.exe sur le bureau et clique sur Commencer le scan.
- Si des infections sont trouvées après ce scan rapide, clique sur le bouton Oui pour Tout.
- Après ce scan rapide, sélectionnez Analyse complète et clique sur la flèche verte à droite.
- Le scan du PC va débuter, le scan peut-être très très long.
- Si une infection sont trouvée, clique sur le bouton Oui pour Tout.
- A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
- Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisissez Enregistrer le rapport.
- Sauvegarde le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
- Ferme Dr.Web CureIt!
- Redémarre ton PC (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.


@++   :)

moulinsart · Answer

Bonsoir,
Je vais essayer de suivre tes conseils à la lettre!
Puisque tu me dis que le scan peut-être très long je pense que je posterai le rapport demain.
Merci encore de me consacrer tout ce temps. 
Et BONNE NUIT.

moulinsart · Answer

Bonjour Dédétraqué, c'est encore moi !
Effectivement les 2 analyses, le scan rapide et le scan complet, ont été très longues et ne ce sont achevées que cet après-midi .
Je t'envoie le contenu du rapport Dr.Web:
https://www.cjoint.com/?fiqtxcVINt
 Je ne sais pas si cela est utile de te signaler qu'après le redémarrage internet a été très long à ouvrir.
Merci d'avance pour ta réponse

dédétraqué · Answer

Salut moulinsart


Je dirai pas comme hier que cela est bon :-))

Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

Le rapport est dans le dossier ici C:\rsit


@++   :)

moulinsart · Answer

Bonsoir Dédétraqué,
voici le rapport RSIT

https://www.cjoint.com/?fitELB7TTd

Cette fois-ci l'ordi s'est bloqué et je l'ai donc redémarrer. Ensuite internet a mis 3 minutes pour s'ouvrir et tout va doucement ..Voici les dernières nouvelles...
Que de patience : merci.

dédétraqué · Answer

Salut moulinsart 


Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire un double clique sur OTL.exe présent sur le bureau pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres!

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse


@++   :)

moulinsart · Answer

Bonsoir Dédétraqué,
voilà qui est fait:	


https://www.cjoint.com/?fiu424iCQO

	https://www.cjoint.com/?fiu5FQO4oj

et donc à bientôt et surtout merci

dédétraqué · Answer

Salut moulinsart 


Faire un scan de ce fichier svchost.exe ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\WINDOWS\System32\dllcache\svchost.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++   :)

moulinsart · Answer

Bonoir Dédétraqué,
voici le résultat complet
Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.05.08	-
AhnLab-V3	2010.05.09.00	2010.05.08	-
AntiVir	8.2.1.236	2010.05.07	-
Antiy-AVL	2.0.3.7	2010.05.07	-
Authentium	5.2.0.5	2010.05.08	-
Avast	4.8.1351.0	2010.05.08	-
Avast5	5.0.332.0	2010.05.08	-
AVG	9.0.0.787	2010.05.08	-
BitDefender	7.2	2010.05.08	-
CAT-QuickHeal	10.00	2010.05.08	-
ClamAV	0.96.0.3-git	2010.05.08	-
Comodo	4794	2010.05.08	-
DrWeb	5.0.2.03300	2010.05.08	-
eSafe	7.0.17.0	2010.05.06	-
eTrust-Vet	35.2.7474	2010.05.07	-
F-Prot	4.5.1.85	2010.05.08	-
F-Secure	9.0.15370.0	2010.05.08	-
Fortinet	4.1.133.0	2010.05.08	-
GData	21	2010.05.08	-
Ikarus	T3.1.1.84.0	2010.05.08	-
Jiangmin	13.0.900	2010.05.08	-
Kaspersky	7.0.0.125	2010.05.08	-
McAfee	5.400.0.1158	2010.05.08	-
McAfee-GW-Edition	2010.1	2010.05.08	-
Microsoft	1.5703	2010.05.08	-
NOD32	5096	2010.05.07	-
Norman	6.04.12	2010.05.08	-
nProtect	2010-05-08.01	2010.05.08	-
Panda	10.0.2.7	2010.05.08	-
PCTools	7.0.3.5	2010.05.07	-
Prevx	3.0	2010.05.08	-
Rising	22.46.05.04	2010.05.08	-
Sophos	4.53.0	2010.05.08	-
Sunbelt	6279	2010.05.08	-
Symantec	20091.2.0.41	2010.05.08	-
TheHacker	6.5.2.0.277	2010.05.07	-
TrendMicro	9.120.0.1004	2010.05.08	-
TrendMicro-HouseCall	9.120.0.1004	2010.05.08	-
VBA32	3.12.12.4	2010.05.06	-
ViRobot	2010.5.8.2306	2010.05.08	-
VirusBuster	5.0.27.0	2010.05.08	-
Information additionnelle
File size: 14336 bytes
MD5...: e4bdf223cd75478bf44567b4d5c2634d
SHA1..: 3d70560753b0ab43252311fa85e12f36a51a5f55
SHA256: 6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a
ssdeep: 384:nrdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:jcG6xlCRaJKGOA7SH
J
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2509
timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653
.data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2
.rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882

( 4 imports )
> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW
> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook
> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid
> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Generic Host Process for Win32 Services
original name: svchost.exe
internal name: svchost.exe
file version.: 5.1.2600.5512 (xpsp.080413-2111)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

dédétraqué · Answer

Salut moulinsart 


Avais-tu bien désactiver et réactiver la restauration système hier comme demander?


@++   :)

moulinsart · Answer

Bonsoir Dédétraqué,
Oui, oui à chaque fois j'essaie de suivre les indications à la lettre.
Désolée...
merci encore : y a-t-il autre chose à faire , à moins que ça ne soit désespéré?

dédétraqué · Answer

Salut moulinsart 


Il y a deux fichiers qui me chicote :
c:\system volume information\whistler\smss.exe
c:\system volume information\whistler\svchost.exe

A part cela comment va le PC?


Je vais demander a d'autre helper voir si quelqu'un aurais une idée sur ces deux fichiers.


@++   :)

moulinsart · Answer

Bonsoir,
je vais éteindre et rallumer le PC et je te dirai ce que ça donne, la dernière fois c'était anormalement long. Je te tiens au courant dans quelques minutes..

moulinsart · Answer

Bonsoir,
alors j'ai éteint le PC. Il a mis un temps normal pour se rallumer. Puis comme à chaque fois Antivir me signale qu'il y a un virus dans Whistler : TR/Dowloader.gen.
Interne tmet à peu près 2 minutes avant de s'ouvrir mais après la naviguation marche bien . En revanche , il y a des lenteurs: par exemple une minute pour ouvrir Mes Documents ou bien pour ouvrir un dossier. Pendant que j'écris ce texte Online-Armor ouvre une fenêtre qui dit le programme smss.exe veut démarrer et tu as raison puique ce programme est dabs C:\System Volume Information\Whistler; D'ailleurs à chaque fois je me demande si je fais bien de le bloquer. Je pense que oui;
Si tu peux m'aider c'est très volontiers mais je ne voudrais pas abuser. 
Je me répète mais encore merci;

dédétraqué · Answer

Salut moulinsart


Voir dans le Gestionnaire des tâches (Crtl + Alt + Del) dans l'onglet Processus si tu vois smss.exe, si oui met le en surbrillance et clique sur Terminer le processus, ferme le Gestionnaire des tâches.

Fais un scan sur VirusTotal de ce fichier :
C:\System Volume Information\Whistler\smss.exe

https://www.virustotal.com/gui/


@++   :)

moulinsart · Answer

Bonsoir ,
quand je tente de suivre tes conseils on me répond : ceci est un processus système critique. Le Gestionnaire des tâches ne peut pas terminer ce processus. 
Y a-t-il un autre moyen , s'il te plaît?

dédétraqué · Answer

Salut moulinsart 


Dans le menu démarrer/Exécuter tape CMD et OK

Dans l'invite de commande tape :

taskkill /f /im smss.exe  et Enter

Exit et Enter pour quitter


@++   :)

moulinsart · Answer

Salut Dédétrauqé,
j'ai suivi tes instructions. Que dois faire d'autre , s'il te plaît?

moulinsart · Answer

Salut Dédétraqué,
j'ai oublié de te dire qu'il y avait écrit que taskkill /f /im smss.exe n'est pas reconnu en tant commande interne ou externe, un programme exécutable ou un fichier de commande.

dédétraqué · Answer

Salut moulinsart


Pourtant cela marche bien chez moi, tu es bien sur XP pro?


@++   :)

moulinsart · Answer

Bonsoir Dédé traqué,
je suis sur Windows édition familliale.

moulinsart · Answer

Bonsoir à nouveau ,
J'ai un doute sur la façon de faire: Quand je suis sur l'écran noir il y a marqué en blanc
C:\Documents and settings\Famille> puis un tiret qui clignote, c'est bien là que j'écris
taskkill /f /im smss.exe ?

dédétraqué · Answer

Salut moulinsart


OK, regarde si ce fichier est présent : 
C:\WINDOWS\system32	askkill.exe


@++   :)

moulinsart · Answer

Bonsoir Dédétraqué,
non je ne l'ai pas trouvé  même en faisant une recherche dans système32;

dédétraqué · Answer

Salut moulinsart 


Télécharge le ici :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijJWhE2Qk.zip

Dézipe le dans ce dossier :
C:\WINDOWS\system32

Essai de nouveau la commande :
taskkill /f /im smss.exe


@++   :)

moulinsart · Answer

Bonsoir, 
cette fois-ci j'ai une autre réponse:
Erreur: le processus smss.exe de PID 408 n'a pas pu être arrété.C'est un processus critique, l'utilitaire ne peut pas mettre fin à ce processus

dédétraqué · Answer

Salut moulinsart   


Je m'informe et je te reviens dans pas long...  


@++   :) 

Édit - OK bonne nuit et à demain

Édit 2 - Télécharge ce fichier :
http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/Kill.exe

Double clique dessus pour l'exécuter et poste le rapport

moulinsart · Answer

Bonjour Dédétraqué, me voici de retour.
J'ai tenté de télécharger le fichier mais impossible de l'exécuter. Donc je k'ai supprimé et voulu le télécharger à nouveau mais là j'ai la réponse :impssible de trouver le fichier à l'adresse. 
J'ai même essayé avec IE au lieu de Mozille mais ce n'est pas mieux.
Est-ce que je peux faire autrement ? Merci d'avance de la réponse.

gen-hackman · Answer

salut moulinsart c'est moi qui ai fait le prog que dedetraqué t'a demandé de telecharger

tu as eu un message d'ereur quelconque ?

moulinsart · Answer

Bonjour Gen-Hackam,
voici ce qui apparaît quand je double clique sur le lien

Fichier introuvable         

Firefox ne peut trouver le fichier à l'adresse http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/Kill.exe.

     
    *   Vérifiez la syntaxe du nom de fichier (dont le respect des minuscules/majuscules) ;

    *   Vérifiez si le fichier n'a pas été déplacé, renommé ou supprimé.


Merci de ta réponse;

gen-hackman · Answer

ok tu peux y aller je l avais retiré pensant que tu l'avais pris

moulinsart · Answer

Alors , j'ai de nouveau cliqué dessus: il semble s'être téléchargé et je le vois dans la liste des téléchargements mais quand je double clique dessus pour l'exécuter rien ne se passe  et en cliquant droit dessus on ne me propose pas non plus de l'ouvrir.Je ne sais donc pas quoi faire....
merci d'avance;

gen-hackman · Answer

essaie ceci dans ce cas :

http://sd-1.archive-host.com/membres/up/829108531491024/Cleaner.exe

option 2

moulinsart · Answer

Bonjour à nouveau ,
cette fois- ci , ça a marché et j'ai eu ce rapport dans le blocnote:
¤¤¤¤¤¤¤¤¤¤ Clean results 
 
Deleted : C:\Documents and Settings\Administrateur\Cookies\index.dat 
Deleted : C:\Documents and Settings\Administrateur\Local Settings\Historique\desktop.ini 
Deleted : C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5 
Deleted : C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012010050720100508 
Deleted : C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012010050720100508\index.dat 
Deleted : C:\Documents and Settings\Default User\Local Settings\Historique\desktop.ini 
Deleted : C:\Documents and Settings\Default User\Local Settings\Historique\History.IE5 
Deleted : C:\Documents and Settings\Famille\Cookies\desktop.ini 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@64.111.212[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@66.230.188[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@abmr[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@ad.yieldmanager[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@adnxs[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@alenty[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@ap.orangeads[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@as.perfcreatives[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@bidsystem[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@bouyguestelecom.solution.weborama[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@c.live[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@c.msn[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@commentcamarche[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@dl.javafx[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@doubleclick[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@exoclick[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@feed.ndot[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@freedrweb[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@gmer.softonic[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@google[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@google[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@iapref.orange[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@invitemedia[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@ke.voila[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@kioskea[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@meetic-partners[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@notifier.avira[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@onlinestores.metaservices.microsoft[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@orange[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@production.orangeads[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@rambler[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@smartadserver[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@softonic[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@thesoftonicfrancetoolbar.ourtoolbar[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@toyota2.solution.weborama[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@weborama[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@www.commentcamarche[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@www.orange[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@xiti[1].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\famille@yahoo[2].txt 
Deleted : C:\Documents and Settings\Famille\Cookies\index.dat 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\desktop.ini 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\index.dat 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010041920100426 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010042620100503 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010050320100504 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010050420100505 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010050620100507 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010050720100508 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010050820100509 
Deleted : C:\Documents and Settings\Famille\Local Settings\Historique\History.IE5\MSHist012010050920100510 
Deleted : C:\Documents and Settings\LocalService\Cookies\index.dat 
Deleted : C:\Documents and Settings\LocalService\Local Settings\Historique\desktop.ini 
Deleted : C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5 
Deleted : C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 
Deleted : C:\Documents and Settings\LocalService\Local Settings	emp\Cookies\index.dat 
Deleted : C:\Documents and Settings\NetworkService\Cookies\index.dat 
Deleted : C:\Documents and Settings\NetworkService\Local Settings\Historique\desktop.ini 
Deleted : C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5 
Deleted : C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat 
Deleted : C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP12F.tmp 
Deleted : C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP14D.tmp 
Deleted : C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP14E.tmp 
Deleted : C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP3E.tmp 
Deleted : C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat 
Deleted : C:\WINDOWS\system32\config\systemprofile\Cookies\system@fastclick[2].txt 
Deleted : C:\WINDOWS\system32\config\systemprofile\Cookies\system@snap[2].txt 
Deleted : C:\WINDOWS\system32\config\systemprofile\Cookies\system@yahoo[2].txt 
Deleted : C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\desktop.ini 
Deleted : C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5 
Deleted : C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat 
Deleted : C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012010050720100508 
Deleted : C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012010050820100509 
deleted : C:\Recycler\S-1-5-21-1275210071-299502267-1801674531-1004\Dc1.csv 
deleted : C:\Recycler\S-1-5-21-1275210071-299502267-1801674531-1004\Dc2.exe 
deleted : C:\Recycler\S-1-5-21-1275210071-299502267-1801674531-1004\Dc3.exe 
deleted : C:\Recycler\S-1-5-21-1275210071-299502267-1801674531-1004\Dc4.exe 
deleted : C:\WINDOWS\Prefetch\6DUS2XP.EXE-0AED2E8B.pf 
deleted : C:\WINDOWS\Prefetch\893U2M.EXE-11F9E2DA.pf 
deleted : C:\WINDOWS\Prefetch\ACRORD32INFO.EXE-24548733.pf 
deleted : C:\WINDOWS\Prefetch\AGENTSVR.EXE-002E45AB.pf 
deleted : C:\WINDOWS\Prefetch\ATTRIB.CFXXE-0D17129C.pf 
deleted : C:\WINDOWS\Prefetch\ATTRIB.EXE-39EAFB02.pf 
deleted : C:\WINDOWS\Prefetch\AVCENTER.EXE-1A970FA0.pf 
deleted : C:\WINDOWS\Prefetch\AVENGER.EXE-06FD9E3C.pf 
deleted : C:\WINDOWS\Prefetch\AVENGER.EXE-13E0B7C1.pf 
deleted : C:\WINDOWS\Prefetch\AVENGER.EXE-2390A26F.pf 
deleted : C:\WINDOWS\Prefetch\AVENGER.EXE-2EB516E1.pf 
deleted : C:\WINDOWS\Prefetch\AVENGER.EXE-36384212.pf 
deleted : C:\WINDOWS\Prefetch\AVGNT.EXE-200FEF40.pf 
deleted : C:\WINDOWS\Prefetch\AVGUARD.EXE-27095CE7.pf 
deleted : C:\WINDOWS\Prefetch\AVNOTIFY.EXE-05ED5FD8.pf 
deleted : C:\WINDOWS\Prefetch\AVWSC.EXE-0283F9DD.pf 
deleted : C:\WINDOWS\Prefetch\CATCHME.TMP-265A4B2E.pf 
deleted : C:\WINDOWS\Prefetch\CLEANER.EXE-30852164.pf 
deleted : C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 
deleted : C:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf 
deleted : C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf 
deleted : C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf 
deleted : C:\WINDOWS\Prefetch\DRWEB-CUREIT.EXE-0BC1F40F.pf 
deleted : C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf 
deleted : C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf 
deleted : C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf 
deleted : C:\WINDOWS\Prefetch\EXCEL.EXE-1C75F8D6.pf 
deleted : C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf 
deleted : C:\WINDOWS\Prefetch\FAMILLE.EXE-0E01333C.pf 
deleted : C:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf 
deleted : C:\WINDOWS\Prefetch\FIREFOX.EXE-28641590.pf 
deleted : C:\WINDOWS\Prefetch\GLB1A2B.EXE-052E2653.pf 
deleted : C:\WINDOWS\Prefetch\GREP.CFXXE-350016A4.pf 
deleted : C:\WINDOWS\Prefetch\GUARDGUI.EXE-00ECD849.pf 
deleted : C:\WINDOWS\Prefetch\HELPCTR.EXE-3862B6F5.pf 
deleted : C:\WINDOWS\Prefetch\HELPER.EXE-0415776D.pf 
deleted : C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf 
deleted : C:\WINDOWS\Prefetch\IEXPLORE.EXE-27122324.pf 
deleted : C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf 
deleted : C:\WINDOWS\Prefetch\JAVAW.EXE-2DC32ABC.pf 
deleted : C:\WINDOWS\Prefetch\JAVAWS.EXE-021AC9A9.pf 
deleted : C:\WINDOWS\Prefetch\JQSNOTIFY.EXE-24AE4A36.pf 
deleted : C:\WINDOWS\Prefetch\Layout.ini 
deleted : C:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf 
deleted : C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf 
deleted : C:\WINDOWS\Prefetch\MODE.COM-31685BAE.pf 
deleted : C:\WINDOWS\Prefetch\MSINFO32.EXE-002AF0E6.pf 
deleted : C:\WINDOWS\Prefetch\NIRCMD.CFXXE-05436116.pf 
deleted : C:\WINDOWS\Prefetch\NOTEPAD.EXE-189578DA.pf 
deleted : C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf 
deleted : C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf 
deleted : C:\WINDOWS\Prefetch\OASRV.EXE-36A01ECE.pf 
deleted : C:\WINDOWS\Prefetch\OAUI.EXE-1064532E.pf 
deleted : C:\WINDOWS\Prefetch\OTL.EXE-01F0F081.pf 
deleted : C:\WINDOWS\Prefetch\PEV.CFXXE-02C8A4D3.pf 
deleted : C:\WINDOWS\Prefetch\PV.CFXXE-232B0D6C.pf 
deleted : C:\WINDOWS\Prefetch\QUICKSTART.EXE-24C38DA1.pf 
deleted : C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf 
deleted : C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 
deleted : C:\WINDOWS\Prefetch\RSIT.EXE-17686666.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-129B0036.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-2576181F.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-25C40596.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-40831FDE.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-4489B61B.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf 
deleted : C:\WINDOWS\Prefetch\RUNDLL32.EXE-47352368.pf 
deleted : C:\WINDOWS\Prefetch\SCHED.EXE-030F29E1.pf 
deleted : C:\WINDOWS\Prefetch\SED.CFXXE-3B4964C3.pf 
deleted : C:\WINDOWS\Prefetch\SID.EXE-37F62D2F.pf 
deleted : C:\WINDOWS\Prefetch\SOFFICE.BIN-01E25E9C.pf 
deleted : C:\WINDOWS\Prefetch\SOFFICE.EXE-358D937C.pf 
deleted : C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf 
deleted : C:\WINDOWS\Prefetch\SWREG.CFXXE-16776A8B.pf 
deleted : C:\WINDOWS\Prefetch\SWREG.CFXXE-17391962.pf 
deleted : C:\WINDOWS\Prefetch\SWREG.EXE-0937BD77.pf 
deleted : C:\WINDOWS\Prefetch\SWREG.EXE-3265884F.pf 
deleted : C:\WINDOWS\Prefetch\SWXCACLS.CFXXE-0F8095D7.pf 
deleted : C:\WINDOWS\Prefetch\SWXCACLS.COM-385FE71A.pf 
deleted : C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf 
deleted : C:\WINDOWS\Prefetch\TASKKILL.EXE-1AF60697.pf 
deleted : C:\WINDOWS\Prefetch\TASKKILL.EXE-32DE4D8B.pf 
deleted : C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf 
deleted : C:\WINDOWS\Prefetch\UNWISE.EXE-38E71885.pf 
deleted : C:\WINDOWS\Prefetch\UPDATE.EXE-2577D203.pf 
deleted : C:\WINDOWS\Prefetch\UPDATE.EXE-35504437.pf 
deleted : C:\WINDOWS\Prefetch\UPDFIX.EXE-19CF66E9.pf 
deleted : C:\WINDOWS\Prefetch\UTILMAN.EXE-0985F07B.pf 
deleted : C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf 
deleted : C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf 
deleted : C:\WINDOWS\Prefetch\WINRAR.EXE-39C6DAD9.pf 
deleted : C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf 
deleted : C:\WINDOWS\Prefetch\WMIAPSRV.EXE-1E2270A5.pf 
deleted : C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf 
deleted : C:\WINDOWS\Prefetch\WMPLAYER.EXE-18DDEF9F.pf 
deleted : C:\WINDOWS\Prefetch\WMPLAYER.EXE-18DDEFA1.pf 
deleted : C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf 
deleted : C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf 
deleted : C:\WINDOWS\Prefetch\_MSRSTRT.EXE-04947D55.pf

gen-hackman · Answer

bien recrée un point de restauration puis redemarre ton pc

moulinsart · Answer

voilà qui est fait:
après création d'un point de restauration et redémarage, Antivir me signale de nouveau dans 2 fenêtres la présence de virus dans whistler : le smss.exe et l'autre ,toujours les même!

gen-hackman · Answer

Whistler\

ca correspond a quoi ca ? un programme , un nom de session ?

moulinsart · Answer

Désolée , je n'en sais strictement rien.

gen-hackman · Answer

supprime Combofix , retelecharge-le , et renomme-le à l'enregistrement

dédétraqué · Answer

Salut gen


Bien relis le MP que je t'ai envoyé hier


@++   :)

moulinsart · Answer

Bonjour,
j'ai suivi ton conseil ,Gen-hackman,  et donc supprimé combofix et rechargé. Je l'ai lancé,après avoir désactivé Online et Avira. 
Il s'est bien exécuté mais au mileu il a redémaré l'ordi et dans ce cas Oneline et Avira redémarrent tous seuls et Avira m'a de nouveau signalé la présence des 2 même virus dans whistler!
Je t'envoie le rapport. 
A part cela , la navigation pour ouvrir des fichiers est vraiment rapide maintenant ce qui est déjà bien; 
Je ne sais pas quoi faire pour ces virus.
rapport de combofix:
ComboFix 10-05-08.03 - Famille 09/05/2010  15:50:41.3.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.155 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\system32\Drivers\atapi.sys a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\ERDNT\cache\atapi.sys 

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-09 au 2010-05-09  ))))))))))))))))))))))))))))))))))))
.

2010-05-09 02:12 . 2008-04-13 20:34	78336	----a-w-	c:\windows\system32	askkill.exe
2010-05-09 02:11 . 2010-05-09 02:11	--------	d-----w-	c:\windows\system32\cijJWhE2Qk
2010-05-09 02:06 . 2010-05-09 02:06	35868	----a-w-	c:\windows\system32\cijJWhE2Qk.zip
2010-05-07 23:37 . 2010-05-08 06:12	--------	d-----w-	c:\documents and settings\Famille\DoctorWeb
2010-05-07 18:49 . 2010-05-07 18:49	--------	d-----w-	c:\windows\system32\config\systemprofile\Local Settings\Application Data\Conduit
2010-05-07 18:47 . 2010-05-07 18:49	--------	d-----w-	c:\windows\system32\config\systemprofile\Local Settings\Application Data\Softonic_France
2010-05-07 17:16 . 2010-05-07 17:16	--------	d-----w-	c:\program files\Conduit
2010-05-07 17:16 . 2010-05-07 17:16	--------	d-----w-	c:\documents and settings\Famille\Local Settings\Application Data\Conduit
2010-05-06 19:36 . 2008-04-14 02:34	39424	-c--a-w-	c:\windows\system32\dllcache\grpconv.exe
2010-05-06 19:36 . 2008-04-14 02:34	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-05-06 16:29 . 2010-05-06 16:30	--------	d-----w-	C:sit
2010-05-03 17:33 . 2010-05-03 17:36	--------	d---a-w-	C:\Navilog1
2010-05-03 17:33 . 2010-05-03 17:36	--------	d-----w-	c:\program files
avilog1
2010-04-12 22:23 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-09 14:02 . 2009-07-17 13:57	--------	d-----w-	c:\documents and settings\Famille\Application Data\OnlineArmor
2010-05-08 21:22 . 2009-08-04 15:22	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-05-08 17:26 . 2008-10-26 13:49	--------	d-----w-	c:\program files\Trend Micro
2010-05-07 14:48 . 2004-08-05 12:00	80896	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-07 14:48 . 2004-08-05 12:00	501278	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-06 15:32 . 2004-08-05 12:00	14336	----a-w-	c:\windows\system32\svchost.exe
2010-05-03 16:54 . 2008-11-27 13:33	--------	d-----w-	c:\program files\CCleaner
2010-05-02 13:25 . 2008-09-26 13:52	--------	d-----w-	c:\documents and settings\Famille\Application Data\Skype
2010-05-02 13:03 . 2008-09-26 13:56	--------	d-----w-	c:\documents and settings\Famille\Application Data\skypePM
2010-05-02 11:22 . 2004-08-05 12:00	1037824	----a-w-	c:\windows\explorer.exe
2010-04-07 20:59 . 2008-12-12 15:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-03-26 08:33 . 2010-05-03 16:41	1496064	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-05-03 16:41	43008	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-05-03 16:41	339456	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-05-03 16:41	346112	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-16 16:11 . 2010-05-07 17:16	52224	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
2010-03-16 16:11 . 2010-05-07 17:16	101376	----a-w-	c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
2010-03-11 12:34 . 2004-08-05 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-05 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-05 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-05 12:00	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-05 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-18 16:10 . 2007-02-23 14:05	319	----a-w-	c:\windows\system32\CRUNX.BIN
2010-02-17 12:07 . 2004-08-05 12:00	2192000	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:07 . 2004-08-04 00:48	2068864	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 04:34 . 2004-08-05 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-05 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2007-03-23 14:01 . 2007-03-23 14:00	76836	-c--a-w-	c:\program files\vp.pdf
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE	cpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache	cpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers	cpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$	cpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386	cpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE	cpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$	cpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$	cpip.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2005-12-07 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"D-Link AirPlus XtremeG DWL-G122"="c:\program files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-12-18 1556480]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2008-03-23 5519424]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

c:\documents and settings\Famille\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2005-10-10 20:49	7286784	----a-w-	c:\windows\system32
vcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2005-10-10 20:49	86016	----a-w-	c:\windows\system32
vmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 13:57	282624	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-08-03 03:12	577536	-c--a-w-	c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [17/07/2009 15:56 80072]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [17/07/2009 15:56 32456]
R1 OAnet;OAnet;c:\windows\system32\drivers\oanet.sys [17/07/2009 15:56 28872]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/08/2009 17:22 108289]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [17/07/2009 15:56 5414464]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13/07/2004 13:40 48512]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\98th2821.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-09 15:59
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc25.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1275210071-299502267-1801674531-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(5880)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32
vsvc32.exe
c:\windows\wanmpsvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\lvcomsx.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-09  16:08:11 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-09 14:08

Avant-CF: 4 421 619 712 octets libres
Après-CF: 4 463 636 480 octets libres

- - End Of File - - 2B2C8817BEB9E8336906B40D587DA1FA

gen-hackman · Answer

tu ne l'as tout de meme pas renommé comme demandé.... quoi qu'il en soit , nous avons depatché un fichier systeme c'est deja ca __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ADS:: SkipFix:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

moulinsart · Answer

Aïe , j'ai fait une bêtise... Mea culpa;
Cette fois ci j'essaie de suivre tes instructions à la lettre et je te raconte tout. Merci de ta patience et à toute à l'heure.

gen-hackman · Answer

;)

moulinsart · Answer

oups!
alors voilà : j'ai bien enregistré sur le bureau le fichier CFScript mais je ne parviens pas à faire la suite: j'ai essayé de faire glisser ce fichier sur combofix mais il refuse de marcher Ensuite, ça a beugé j'ai fermé Firefox . En le réouvrant la fenêtre Firefox était ouverte mais impossible de naviguer sur le net comme s'il n'y avait pas de connexion. 
Donc j'ai éteint le PC, je l'ai rallumé et me voilà. Evidemment Avira me donne toujours les 2 même indications.
Pourrais -tu m'expliquer comment faire scanner le dossier par cobofix, je te précise que suite à son   téléchargement combofix se trouve dans 
C:\Documents and Settings\Famille\Mes documents\Téléchargements.
Merci d'avance de ta réponse;

gen-hackman · Answer

ton probleme est un drole de probleme ....

moulinsart · Answer

Bonsoir, 
drôle de problème , je suis d'accord. J'ai même envisagé de jeter le PC par la fenêtre mais je crains que ça n'arrange rien..
Je suis embêtée de vous prendre tant de temps.
Peut-être qu'il vaut mieux abandonner les recherches, non? Ce PC nous rend bien service même s'il est très vieux: il nous sert de deuxième PC car nous avons aussi un portable mais à trois dessus..
 Il y a déjà une nette amélioration car les fichiers s'ouvrent vite maintenant;
S'il n'y a pas d'autres solutions, je vais peut-être continuer à m'en servir comme ça, au démarrage je bloquerai les 2 virus . Si ça se dégrade à nouveau il faudra peut-être en acheter un autre, non?
Dis moi ce que tu en penses, s'il te plaît. Merci;

gen-hackman · Answer

Télécharge SF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre "cmd" va s'ouvrir .

*Tape Whistler dans cette fenêtre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

moulinsart · Answer

Voici le rapport:
1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 21:29:22 le 09/05/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. Whistler
8. 
9. 
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11. 
12. Aucun fichier trouvé
13. 
14. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15. 
16. "c:\Qoobox\Quarantine\C\System Volume Information\Whistler" [ ----D---- ]
17. TC: 07/05/2010,19:29:14 | TM: 08/05/2010,12:22:27 | DA: 09/05/2010,21:29:44
18. 
19. =========================
20. 
21. =========================
22. 
23. Fin à: 21:30:39 le 09/05/2010 ( E.O.F )

gen-hackman · Answer

supprime Combofix , retelecharge-le mais cette fois ci renomme-le , change son nom à l 'enregistrement sur le bureau , fais en sorte qu'il ne s'apelle pas Combofix

et reessaie ceci :

https://forums.commentcamarche.net/forum/affich-17640603-online-armor-ouvre-une-dizaine-de-fenetres?page=4#62

moulinsart · Answer

Je viens de supprimer Combofix . 
Je vais le retélécharger mais avant pourrais-tu me dire comme faire pour qu'il se télécharge sur le bureau car , moi quand je télécharge ça m'envoie les téléchargements dans        
C:\Documents and Settings\Famille\Mes documents\Téléchargements. 
 
et je ne sais pas changer la destination . Merci d'avance

gen-hackman · Answer

couper/coller sur le bureau

moulinsart · Answer

ça y est j'ai modifié dans outils l'envoi des téléchargements devarit se faire sue le bureau donc je suis tes instructions et je reviens.

gen-hackman · Answer

ok

moulinsart · Answer

j'ai téléchargé combofix sur le bureau mais impossible de le renommer avant qu'il n'arrive sur le bureau . Je l'ai renommé après en l'appelant CBFX mais je ne sais pas si ça marche.
Ensuite j'ai fait glisser dessus le fichier texte et je te poste le rapport en espérant que ce soit bon : 
	https://www.cjoint.com/?fjw4tbDdJU

gen-hackman · Answer

je sèche......

moulinsart · Answer

Désolée de te poser un tel problème. 
Déjà la navigation dans les dossiers est bien meilleure. Est-ce que je dois désintaller tous les programmes chargés pour tout ça?

gen-hackman · Answer

je vais essayer de demander de l'aide à plus calé que moi

moulinsart · Answer

merci en tous les cas à Dédétraqué et à toi .
Je vais me déconnecter pour ce soir c'est fini . Si tu trouves quelqu'un qui soit plus calé que vous deux, je veux bien mais je ne me reconnecte que demain , mais plus calé , je doute que ça existe ... :=)

gen-hackman · Answer

oh si !! si tu savais !! :)

moulinsart · Answer

évidemment vu mon niveau je suis assez épatée . Surtout par votre patience. 
Encore merci . 
De plus je vois que tu aimes la guitare et les "solos floydiens " alors je sais que tu t'entendrais bien avec mon petit mari ( ce qui n'a rien à faire dans ce sujet , mais bon..)
Cette fois-ci :
Bonne nuit.

gen-hackman · Answer

oui pour discuter d'autre chose que la desinfection mieux vaut passer par les messages privés sinon on va se faire tirer dessus ^^

bonne fin de soirée

dédétraqué · Answer

Salut moulinsart, gen


On m'a appelé  :-))) 

Important Désactive ton Antivirus et antispyware avant le scan avec DiagHelp : 
https://forum.pcastuces.com/default.asp 


Télécharge DiagHelp sur le bureau ici : 

http://www.malekal.com/download/DiagHelp.zip 

Lire et suivre attentivement le tutoriel ici : 

http://www.malekal.com/DiagHelp/DiagHelp.php 


- Choisi l'option 1 (Lister Fichiers), enregistre-le sur le bureau. 

--- 

Utilise ensuite cjoint.com pour poster en lien ton rapport : 
https://www.cjoint.com/ 

- Clique sur Parcourir pour aller chercher le rapport 
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint 

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse. 


@++  :)

moulinsart · Answer

Bonjour Dédétraqué , merci de prendre la suite.
Voici le rapport . Je ne sais pas pourquoi l'envoi à malekal ne s'est pas fait : j'ai suivi les ordres , l'envoi semblait se faire  et au bout de plusieurs minutes il a eu marqué que je n'avais pas sélectionné de fichiers. Je ne sais pas si je dois réessayer.
rapport
	https://www.cjoint.com/?fkkJOjCCSi

dédétraqué · Answer

Salut moulinsart


- Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

 KillAll::

FCopy::
c:\windows\system32\dllcache	cpip.sys | c:\windows\system32\drivers	cpip.sys

File::
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

   * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
     Ne touche à rien tant que le scan n'est pas terminé.
   * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
   * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++   :)

gen-hackman · Answer

bonsoir je voudrais obtenir la quarantaine de Combofix pour l'etudier

dédétraqué · Answer

Salut gen 


Tu serais peut-être mieux avec la quarantaine de Dr.Web : 
http://cjoint.com/data/fiqtxcVINt.htm 

c:\Documents and Settings\Famille\DoctorWeb\Quarantine

Il avais vider la quarantaine de Combofix 


@++   :)

gen-hackman · Answer

exact merci

gen-hackman · Answer

ok j ai un peu regardé ca ressemble a la derniere trouvaille de ceux qui ont fait conficker

moulinsart · Answer

Bonsoir , je fais ce qu'il faut et je poste le rapport. Merci et à toute à l'heure.

gen-hackman · Answer

ok fais ceci que je voie les fichiers infectés qui m'interessent pour traiter ton affaire :

demarrer /executer 

tape : cmd

ok

dans la fenetre noire tu copies-colles :

dir /A/B/S %Homedrive%\Qoobox >> %Homedrive%\Moulinsart.txt

puis entrée

ensuite , tu vas dans C:\ et tu ouvres le document texte : Moulinsart.txt et tu colles son contenu

merci

moulinsart · Answer

Bonsoir ,
voici le rapport de Combofix
	https://www.cjoint.com/?fla2fM4NHs

et maintenant je fais la suite et je reviens.

moulinsart · Answer

Bonsoir 
voici donc le contenu de Moulinsart

C:\Qoobox\Add-Remove Programs.txt
C:\Qoobox\BackEnv
C:\Qoobox\CFScript_used_2010-05-07_19.24.01.txt
C:\Qoobox\CFScript_used_2010-05-09_22.32.06.txt
C:\Qoobox\CFScript_used_2010-05-11_00.32.29.txt
C:\Qoobox\ComboFix-quarantined-files.txt
C:\Qoobox\ComboFix2.txt
C:\Qoobox\ComboFix3.txt
C:\Qoobox\Quarantine
C:\Qoobox\SnapShot@2010-05-10_22.40.01.dat
C:\Qoobox\BackEnv\appdata.folder.dat
C:\Qoobox\BackEnv\cache.folder.dat
C:\Qoobox\BackEnv\Cookies.folder.dat
C:\Qoobox\BackEnv\desktop.folder.dat
C:\Qoobox\BackEnv\favorites.folder.dat
C:\Qoobox\BackEnv\localappdata.folder.dat
C:\Qoobox\BackEnv\localsettings.folder.dat
C:\Qoobox\BackEnv\mypictures.folder.dat
C:\Qoobox\BackEnv\personal.folder.dat
C:\Qoobox\BackEnv\Profiles.Folder.dat
C:\Qoobox\BackEnv\Profiles.Folder.folder.dat
C:\Qoobox\BackEnv\programs.folder.dat
C:\Qoobox\BackEnv\SetPath.bat
C:\Qoobox\BackEnv\startmenu.folder.dat
C:\Qoobox\BackEnv\startup.folder.dat
C:\Qoobox\BackEnv\SysPath.dat
C:\Qoobox\BackEnv\templates.folder.dat
C:\Qoobox\Quarantine\C
C:\Qoobox\Quarantine\catchme.log
C:\Qoobox\Quarantine\catchme.txt
C:\Qoobox\Quarantine\Registry_backups
C:\Qoobox\Quarantine\[4]-Submit_2010-05-07_19.24.01.zip
C:\Qoobox\Quarantine\C\Documents and Settings
C:\Qoobox\Quarantine\C\feed.txt.vir
C:\Qoobox\Quarantine\C\System Volume Information
C:\Qoobox\Quarantine\C\WINDOWS
C:\Qoobox\Quarantine\C\Documents and Settings\Famille
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Application Data
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\hhmgur.exe.vir
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Local Settings
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\nvwkc.exe.vir
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\_secupdat_.dat.zip
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Application Data\pard.exe.vir
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Application Data\wiaservg.log.vir
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Application Data\yxdqln.exe.vir
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Local Settings\Application Data
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Local Settings\Application Data\Windows Server
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Local Settings\Application Data\Windows Server\flags.ini.vir
C:\Qoobox\Quarantine\C\Documents and Settings\Famille\Local Settings\Application Data\Windows Server\uses32.dat.vir
C:\Qoobox\Quarantine\C\System Volume Information\Whistler
C:\Qoobox\Quarantine\C\System Volume Information\Whistler\smss.exe.vir
C:\Qoobox\Quarantine\C\System Volume Information\Whistler\svchost.exe.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers
C:\Qoobox\Quarantine\C\WINDOWS\system32\wbem
C:\Qoobox\Quarantine\C\WINDOWS\system32\_secupdat_.dat.zip
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\atapi.sys.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\kvrtrxmm.sys.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\tcpip.sys.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_kvrtrxmm_.sys.zip
C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-userini.reg.dat
C:\Qoobox\Quarantine\Registry_backups\HKLM-Explorer_Run-userini.reg.dat
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-userini.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Legacy_ICF.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Legacy_kvrtrxmm.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Legacy_PROTECT.reg.dat
C:\Qoobox\Quarantine\Registry_backups\SafeBoot-kvrtrxmm.sys.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Service_ICF.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Service_kvrtrxmm.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Service_poof.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Service_protect.reg.dat
C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

gen-hackman · Answer

------------------------ Autres processus actifs ------------------------
.
c:\system volume information\Whistler\svchost.exe
c:\system volume information\Whistler\smss.exe

il fallait s'y attendre il est vicieux le bougre....je vais etudier ca des reception/....................

moulinsart · Answer

Bonsoir 
je me déconnecte . 
Je regarderai demain s'il y a du nouveau.
Merci d'avance. Bonne nuit;

gen-hackman · Answer

bonsoir je n ai pas vu ta reponse elle n a pas ete signal"e .. !!         :S

C:\Qoobox\Quarantine\C\System Volume Information\Whistler\smss.exe.vir
C:\Qoobox\Quarantine\C\System Volume Information\Whistler\svchost.exe.vir

peux-tu reunir ces deux fichier stp  dans un dossier j ai besoin de les examiner ?

je t expliquerai comment me les faire parvenir

moulinsart · Answer

Bonjour,
les deux dossiers sont dans Whistler et je te les envoie avec Cjoint ou autrement ,d ès que tu me le diras.
Merci

gen-hackman · Answer

ok clic droit /envoyer vers / dossiers compressés puis envoie l archive par cijoint merci

moulinsart · Answer

Bonjour Gen-hackman 
Voici le dossier que tu me demandes . Merci 
	https://www.cjoint.com/?floABIy4I5

gen-hackman · Answer

archive vide :(

moulinsart · Answer

Bonjour  de nouveau
quand je clique droit sur whistler  on me dit

"fichier introuvable ou lecture non autorisée "
Je ne sais pas comment faire . J'ai peut-être un problème avec winzip que j'ai téléchargé gratuitement depuis très longtemps, je ne sais pas ...
sinon, je peux peut-être  copier les deux fichiers ailleurs , je ne sais pas..
merci d'avance pour la réponse

gen-hackman · Answer

hello essaie de les copier dans un dossier dans C:\ que tu auras créés au prealable

(je ne pense pas qu'il te laissera faire)

moulinsart · Answer

Bonsoir Gen-Hackman 
Effectivement , tu as raison: il ne veut pas!

gen-hackman · Answer

je m'en serais douté

dédétraqué · Answer

Salut moulinsart


Compresse ces deux dossiers en gras:
C:\Qoobox\Quarantine
c:\Documents and Settings\Famille\DoctorWeb\Quarantine


@++   :)

moulinsart · Answer

Bonsoir,
Lors de l'envoi vers dossiers compressés, il y a encore eu la fenêtre" fichier introuvable ou lecture non autorisée" mais la compression a fonctionné quand même donc je ne sais ce que ça a donné . Je te les envoie:

	https://www.cjoint.com/?flxYZTP14e

	https://www.cjoint.com/?flxZXAI1V5

dédétraqué · Answer

Salut moulinsart


Bon j'ai pu récupérer quelque fichier, mais pas tous...

Supprime les fichiers .zip que tu viens de créer, voir en mode sans échec pour les compressés de nouveau, après en mode normal tu postes.


@++   :)

gen-hackman · Answer

j ai testé le setup.exe ben ca marche pas !!! :(

gen-hackman · Answer

smss.exe :

a-squared	4.5.0.50	2010.05.10	Trojan-Downloader.Win32.Unruy!IK
AhnLab-V3	2010.05.11.00	2010.05.10	Win-Trojan/Downloader.41472.BR
AntiVir	8.2.1.236	2010.05.11	TR/Downloader.Gen
Antiy-AVL	2.0.3.7	2010.05.11	Trojan/Win32.Vilsel.gen
Authentium	5.2.0.5	2010.05.11	-
Avast	4.8.1351.0	2010.05.11	Win32:Unruy-E
Avast5	5.0.332.0	2010.05.11	Win32:Unruy-E
AVG	9.0.0.787	2010.05.12	Downloader.Generic9.BUGQ
BitDefender	7.2	2010.05.11	Trojan.Generic.3840389
CAT-QuickHeal	10.00	2010.05.11	Trojan.Vilsel.adiy
ClamAV	0.96.0.3-git	2010.05.12	-
Comodo	4826	2010.05.12	UnclassifiedMalware
DrWeb	5.0.2.03300	2010.05.11	Win32.HLLC.Asdas.8
eSafe	7.0.17.0	2010.05.11	Win32.TRDownloader
eTrust-Vet	35.2.7481	2010.05.11	-
F-Prot	4.5.1.85	2010.05.11	-
F-Secure	9.0.15370.0	2010.05.11	Trojan.Generic.3840389
Fortinet	4.1.133.0	2010.05.11	W32/Vilsel.ADIY!tr
GData	21	2010.05.12	Trojan.Generic.3840389
Ikarus	T3.1.1.84.0	2010.05.11	Trojan-Downloader.Win32.Unruy
Jiangmin	13.0.900	2010.05.11	Trojan/Vilsel.grg
Kaspersky	7.0.0.125	2010.05.12	Trojan.Win32.Vilsel.adiy
McAfee	5.400.0.1158	2010.05.12	Generic Downloader.x!dwt
McAfee-GW-Edition	2010.1	2010.05.11	Heuristic.BehavesLike.Win32.Worm.H
Microsoft	1.5703	2010.05.11	TrojanDownloader:Win32/Unruy.C
NOD32	5106	2010.05.11	a variant of Win32/TrojanDownloader.Unruy.AV
Norman	6.04.12	2010.05.11	W32/DLoader.AJLIZ
nProtect	2010-05-11.01	2010.05.11	Trojan.Generic.3840389
Panda	10.0.2.7	2010.05.11	Trj/Downloader.XMN
PCTools	7.0.3.5	2010.05.11	-
Prevx	3.0	2010.05.12	Medium Risk Malware
Rising	22.47.01.04	2010.05.11	-
Sophos	4.53.0	2010.05.11	Mal/Generic-L
Sunbelt	6292	2010.05.11	Trojan-Downloader.Win32.Unruy.C (v)
Symantec	20101.1.0.89	2010.05.11	WS.Reputation.1
TheHacker	6.5.2.0.279	2010.05.11	-
TrendMicro	9.120.0.1004	2010.05.11	Mal_DLDER
TrendMicro-HouseCall	9.120.0.1004	2010.05.12	Mal_DLDER
VBA32	3.12.12.4	2010.05.11	-
ViRobot	2010.5.11.2310	2010.05.11	Trojan.Win32.Vilsel.41472
VirusBuster	5.0.27.0	2010.05.11	Trojan.Vilsel.GAB

gen-hackman · Answer

svchost :

a-squared	4.5.0.50	2010.05.10	Trojan-Downloader.Win32.Unruy!IK
AhnLab-V3	2010.05.11.00	2010.05.10	Win-Trojan/Downloader.42496.BK
AntiVir	8.2.1.236	2010.05.11	TR/Downloader.Gen
Antiy-AVL	2.0.3.7	2010.05.11	Trojan/Win32.Vilsel.gen
Authentium	5.2.0.5	2010.05.11	-
Avast	4.8.1351.0	2010.05.11	Win32:Unruy-E
Avast5	5.0.332.0	2010.05.11	Win32:Unruy-E
AVG	9.0.0.787	2010.05.12	Downloader.Generic9.BUIV
BitDefender	7.2	2010.05.11	Trojan.Generic.3847133
CAT-QuickHeal	10.00	2010.05.11	Trojan.Vilsel.adiz
ClamAV	0.96.0.3-git	2010.05.12	-
Comodo	4826	2010.05.12	UnclassifiedMalware
DrWeb	5.0.2.03300	2010.05.11	Win32.HLLC.Asdas.8
eSafe	7.0.17.0	2010.05.11	Win32.TRDownloader
eTrust-Vet	35.2.7481	2010.05.11	-
F-Prot	4.5.1.85	2010.05.11	-
F-Secure	9.0.15370.0	2010.05.11	Trojan.Generic.3847133
Fortinet	4.1.133.0	2010.05.11	W32/Vilsel.ADIZ!tr
GData	21	2010.05.12	Trojan.Generic.3847133
Ikarus	T3.1.1.84.0	2010.05.11	Trojan-Downloader.Win32.Unruy
Jiangmin	13.0.900	2010.05.11	-
Kaspersky	7.0.0.125	2010.05.12	Trojan.Win32.Vilsel.adiz
McAfee	5.400.0.1158	2010.05.12	Generic Downloader.x!dwt
McAfee-GW-Edition	2010.1	2010.05.12	Heuristic.BehavesLike.Win32.Worm.H
Microsoft	1.5703	2010.05.11	TrojanDownloader:Win32/Unruy.C
NOD32	5106	2010.05.11	a variant of Win32/TrojanDownloader.Unruy.BM
Norman	6.04.12	2010.05.11	W32/DLoader.AJLIY
nProtect	2010-05-11.01	2010.05.11	Trojan.Generic.3847133
Panda	10.0.2.7	2010.05.11	Trj/CI.A
PCTools	7.0.3.5	2010.05.11	-
Prevx	3.0	2010.05.12	Medium Risk Malware
Rising	22.47.01.04	2010.05.11	-
Sophos	4.53.0	2010.05.11	Mal/Generic-L
Sunbelt	6292	2010.05.11	Trojan-Downloader.Win32.Unruy.C (v)
Symantec	20101.1.0.89	2010.05.11	WS.Reputation.1
TheHacker	6.5.2.0.279	2010.05.11	-
TrendMicro	9.120.0.1004	2010.05.11	Mal_DLDER
TrendMicro-HouseCall	9.120.0.1004	2010.05.12	Mal_DLDER
VBA32	3.12.12.4	2010.05.11	-
ViRobot	2010.5.11.2310	2010.05.11	Trojan.Win32.Vilsel.42496.A
VirusBuster	5.0.27.0	2010.05.11	Trojan.Vilsel.GAC

moulinsart · Answer

Bonsoir,
 mais là je suis perdue: je dois faire quelque chose?
Merci d'avance ;

gen-hackman · Answer

par contre analyse avec MBAM : 0

aucune detection

gen-hackman · Answer

j ai bien envie de cliquer dessus pour voir ce que ca fait...

moulinsart · Answer

Bonsoir ,
je suppose que ce n'est pas à moi que tu parles, Gen-hackman sinon il faut me préciser sur quoi il faut cliquer.
Merci

gen-hackman · Answer

non c'est clair lol

j ai bien envie de cliquer sur les fichiers que tu as envoyé pour voir le resultat.....

moulinsart · Answer

Bien, alors , voilà l'idée de vous avoir envoyé un virus m'inquiète pas mal.Je ne voudrais pas être à l'origine d'une catastrophe.
J'attends donc vos consignes si vous en avez sinon devant tant de complexité  , je comprendrais très bien que vous abandonniez.
Merci d'avance pour votre réponse.

gen-hackman · Answer

bon ben je pense que le meilleur moyen de traiter un probleme est de cliquer dessus lol ^^ par contre je vais supprimer le post , avec ta permission , ou tu as envoyé ca , car c'est bouillant

moulinsart · Answer

Bien évidemment supprimes ce que tu veux..surtout si c'est bouillant!

gen-hackman · Answer

suppression faite

dédétraqué · Answer

Salut gen


J'ai pas eu le temps de récupérer le zip, poste le moi en MP SVP


@++  :)

gen-hackman · Answer

ah zut !! attends je fouille ma resto j arrive pas a remettre la main dessus

gen-hackman · Answer

ok je le mets ici en archive cryptée pour les developpeurs et je te donne le mot de passe en MP

http://www.cijoint.fr/cjlink.php?file=cj201005/cijBio4EM4.zip

dédétraqué · Answer

Salut gen


OK cela est bon  :-))  Thx

gen-hackman · Answer

j ai cliqué dessus ben ca fait pas grand chose chez moi

moulinsart · Answer

Bonjour, 
mon PC va beaucoup mieux  et je tente d'y mettre de l'ordre. 
Merci encore pour tout.
Quels conseils pourriez-vous me donner pour désinstaller les programmes téléchargés sur vos conseils et les fichiers qui ont été édités.
Merci d'avance de me consacrer encore du temps , une dernière fois.

gen-hackman · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

moulinsart · Answer

Merci, merci.
J'essaie de faire tout ceci dans l'ordre.
Je mettrai le topic en résolu à la fin.
Pour l'instant tout va bien , vous m'avez rendu un fier service.

gen-hackman · Answer

c'est un plaisir

moulinsart · Answer

Re bonjour Gen-Hackman,
je n'avais pas bien lu qu'il fallait poster le rapport de ToolsCleaner donc le voici:
	https://www.cjoint.com/?fosnrtNZHY

gen-hackman · Answer

bien...tu pouvais le poster sur le forum il est pas bien long....

moulinsart · Answer

Bonjour à nouveau ,
J'ai tenté de bien suivre tes conseils.
Petit détail avec CCleaner:il y a une erreur que je ne parviens pas à réparer 
"L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant. Ce genre de référence est souvent laissé après la désinstallation d'un programme. 

 Solution : effacer la valeur du registre.",
 j'ai essayé plusieurs fois mais le message revient toujours.
A part ça , tout s'est déroulé sans problème;Voici le rapport JavaRa
JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri May 14 21:41:56 2010

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Famille\Application Data\Sun\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Famille\Application Data\Sun\Java\jre1.6.0_11

Found and removed: C:\Documents and Settings\Famille\Application Data\Sun\Java\jre1.6.0_12

Found and removed: C:\Documents and Settings\Famille\Application Data\Sun\Java\jre1.6.0_13

Found and removed: C:\Documents and Settings\Famille\Application Data\Sun\Java\jre1.6.0_15

Found and removed: C:\Documents and Settings\Famille\Application Data\Sun\Java\jre1.6.0_17

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_07

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_07

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160070}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri May 14 21:42:28 2010

------------------------------------

Finished reporting.







J'attends ta réponse avant de signaler le topic comme résolu;
Merci d'avance .

dédétraqué · Answer

Salut moulinsart, gen


Je ne pense pas que cela soit fini, reste ces deux fichiers :
c:\system volume information\Whistler\svchost.exe 
c:\system volume information\Whistler\smss.exe


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/


Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

 KillAll::

RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]       

Rootkit::
C:\WINDOWS\system32\mchInjDrv.sys
c:\windows\TEMP\mc25.tmp

File::
c:\system volume information\whistler\smss.exe
c:\system volume information\whistler\svchost.exe

Folder::
c:\system volume information\whistler

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

   * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
     Ne touche à rien tant que le scan n'est pas terminé.
   * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
   * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++   :)

moulinsart · Answer

Bonjour Dédétraqué,
je prends note de tous tes conseils mais je ne pourrais pas m'en occuper avant demain. Merci encore de tout.A bientôt.

moulinsart · Answer

Bonjour Dédétraqué ,
J'ai donc suivi les consignes de Gen puis , aujourd'hui, les tienns et visiblement "ils" sont toujours là! 
Je te poste le rapport.Je ne sais pas s'il y a encore autre chose à faire . Merci de t'en occuper encore.
	https://www.cjoint.com/?fqmHTgBZaf

gen-hackman · Answer

hello refais un CFScript avec ceci :

KillAll::

Folder
c:\windows\system32\cijJWhE2Qk

File::
c:\windows\system32\cijJWhE2Qk.zip
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe

moulinsart · Answer

Bobnjour Gen-Hackman,
J'ai refait un CFScript puis je l'ai renvoyé sur Combofix . Je t'envoie le rapport:
https://www.cjoint.com/?fqooipkAeU
Merci de me dire quoi faire ...

gen-hackman · Answer

bon tu peux me donner le contenu de ceci ? 

c:\windows\system32\cijJWhE2Qk

moulinsart · Answer

Rebonjour ,
Quand j'ouvre  cijWhE2Qk il y a 
Application :  taskkill
                  Terminer le processus
                 Microsoft Corporation
                 Taille :76,5 Ko (78 336 octets)
                  Créé le  dimanche 9 mai 2010, 04:11:58
                Modifié le dimanche 13 avril 2008, 22:34:24

gen-hackman · Answer

il y a juste ce fichier .exe ?

moulinsart · Answer

Oui , oui.

gen-hackman · Answer

tu peux supprimer le dossier manellement ?

moulinsart · Answer

Voilà , c'est fait : j'ai mis à la poubelle cijJWhE2Qk qui n' a opposé aucune résistance!

gen-hackman · Answer

ok maintenant , supprime combofix , telecharge-le , renomme le à l"enregistrement , sur ton bureau , avec des lettres aleatoires 

puis refais le dernier CFScript 
?G3?-?@¢??@?(TM)©®?

moulinsart · Answer

Voilà qui est fait . Mais au redémarrage de Windows , Avira se remet en marche et me signale toujours leur présence.
Voici le rapport:
https://www.cjoint.com/?fqpOnoyorv

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\system32\CRUNX.BIN


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

moulinsart · Answer

Voici la réponse de Virus Total Fichier CRUNX.BIN reçu le 2010.05.16 13:57:49 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.05.10 - AhnLab-V3 2010.05.16.00 2010.05.15 - AntiVir 8.2.1.242 2010.05.14 - Antiy-AVL 2.0.3.7 2010.05.14 - Authentium 5.2.0.5 2010.05.15 - Avast 4.8.1351.0 2010.05.16 - Avast5 5.0.332.0 2010.05.16 - AVG 9.0.0.787 2010.05.16 - BitDefender 7.2 2010.05.16 - CAT-QuickHeal 10.00 2010.05.15 - ClamAV 0.96.0.3-git 2010.05.16 - Comodo 4858 2010.05.16 - DrWeb 5.0.2.03300 2010.05.16 - eSafe 7.0.17.0 2010.05.16 - eTrust-Vet 35.2.7490 2010.05.15 - F-Prot 4.5.1.85 2010.05.15 - F-Secure 9.0.15370.0 2010.05.16 - Fortinet 4.1.133.0 2010.05.16 - GData 21 2010.05.16 - Ikarus T3.1.1.84.0 2010.05.16 - Jiangmin 13.0.900 2010.05.16 - Kaspersky 7.0.0.125 2010.05.16 - McAfee 5.400.0.1158 2010.05.16 - McAfee-GW-Edition 2010.1 2010.05.16 - Microsoft 1.5703 2010.05.16 - NOD32 5117 2010.05.15 - Norman 6.04.12 2010.05.16 - nProtect 2010-05-16.01 2010.05.16 - Panda 10.0.2.7 2010.05.16 - PCTools 7.0.3.5 2010.05.16 - Prevx 3.0 2010.05.16 - Rising 22.47.06.04 2010.05.16 - Sophos 4.53.0 2010.05.16 - Sunbelt 6309 2010.05.16 - Symantec 20101.1.0.89 2010.05.16 - TheHacker 6.5.2.0.280 2010.05.14 - TrendMicro 9.120.0.1004 2010.05.16 - TrendMicro-HouseCall 9.120.0.1004 2010.05.16 - VBA32 3.12.12.5 2010.05.14 - ViRobot 2010.5.15.2318 2010.05.15 - VirusBuster 5.0.27.0 2010.05.15 - Information additionnelle File size: 319 bytes MD5...: 1fb7c6bcbc2ba87424e427119f79a6f8 SHA1..: 51b69b730dc814eebcdd70f5b9f88b901ef57806 SHA256: d417fc3288bc60b6c1ec844e65db34bd42dd1cd1d243cc5c847aacb07160b0da ssdeep: 6:ufKpVwX4TcPSImin6+i5FA2M9IhXTtWg5nUKt/XB4zGXubgKgym:OK7wITOIdb
AB9k48UKtS8GlNm
PEiD..: - PEInfo: - RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Unknown! sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.05.10 - AhnLab-V3 2010.05.16.00 2010.05.15 - AntiVir 8.2.1.242 2010.05.14 - Antiy-AVL 2.0.3.7 2010.05.14 - Authentium 5.2.0.5 2010.05.15 - Avast 4.8.1351.0 2010.05.16 - Avast5 5.0.332.0 2010.05.16 - AVG 9.0.0.787 2010.05.16 - BitDefender 7.2 2010.05.16 - CAT-QuickHeal 10.00 2010.05.15 - ClamAV 0.96.0.3-git 2010.05.16 - Comodo 4858 2010.05.16 - DrWeb 5.0.2.03300 2010.05.16 - eSafe 7.0.17.0 2010.05.16 - eTrust-Vet 35.2.7490 2010.05.15 - F-Prot 4.5.1.85 2010.05.15 - F-Secure 9.0.15370.0 2010.05.16 - Fortinet 4.1.133.0 2010.05.16 - GData 21 2010.05.16 - Ikarus T3.1.1.84.0 2010.05.16 - Jiangmin 13.0.900 2010.05.16 - Kaspersky 7.0.0.125 2010.05.16 - McAfee 5.400.0.1158 2010.05.16 - McAfee-GW-Edition 2010.1 2010.05.16 - Microsoft 1.5703 2010.05.16 - NOD32 5117 2010.05.15 - Norman 6.04.12 2010.05.16 - nProtect 2010-05-16.01 2010.05.16 - Panda 10.0.2.7 2010.05.16 - PCTools 7.0.3.5 2010.05.16 - Prevx 3.0 2010.05.16 - Rising 22.47.06.04 2010.05.16 - Sophos 4.53.0 2010.05.16 - Sunbelt 6309 2010.05.16 - Symantec 20101.1.0.89 2010.05.16 - TheHacker 6.5.2.0.280 2010.05.14 - TrendMicro 9.120.0.1004 2010.05.16 - TrendMicro-HouseCall 9.120.0.1004 2010.05.16 - VBA32 3.12.12.5 2010.05.14 - ViRobot 2010.5.15.2318 2010.05.15 - VirusBuster 5.0.27.0 2010.05.15 - Information additionnelle File size: 319 bytes MD5...: 1fb7c6bcbc2ba87424e427119f79a6f8 SHA1..: 51b69b730dc814eebcdd70f5b9f88b901ef57806 SHA256: d417fc3288bc60b6c1ec844e65db34bd42dd1cd1d243cc5c847aacb07160b0da ssdeep: 6:ufKpVwX4TcPSImin6+i5FA2M9IhXTtWg5nUKt/XB4zGXubgKgym:OK7wITOIdb
AB9k48UKtS8GlNm
PEiD..: - PEInfo: - RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Unknown! sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

gen-hackman · Answer

tu peux le supprimer manuellement ?

moulinsart · Answer

Voilà : c'est fait.

gen-hackman · Answer

redemarre ton pc , et vois si les processus sont toujours present sinon y a encore un autre truc à tenter

moulinsart · Answer

hello,
je viens de redémarrer mon PC : malheureusement pour moi Avira me signale toujours leur présence!
Je dois vraiment me déconnecter maintenant mais si tu as une autre iddée sur la marche à suivre , je l'appliquerai ce soir. 
Merci pour tout;

gen-hackman · Answer

ouvre l'explorateur Windows, cherche c:\windows\system32\dllcache	cpip.sys 

clic droit et Copier

mets toi dans C:\ et clic droit et Coller.

Clix droit sur le nouveau fichier et Renommer.

Tu l'appelles truc.bak

Tu ignores l'alerte.

===

1. Relance Avenger

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to move:
c:	ruc.bak | c:\windows\system32\drivers	cpip.sys

Folders to delete:
c:\system volume information\_restore{d5fffa500b1b}

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

moulinsart · Answer

Bonsoir 
j'ai suivi le début de tes conseils mais à un moment tu me dis de relancer Avenger et je ne sais pas ce que c'est , tout au moins je ne me rappelle pas l'avoir déjà utilisé.
Pourrais-tu me dire ce que c'est? Merci

gen-hackman · Answer

il t a ete demandé de l utiliser ici :

https://forums.commentcamarche.net/forum/affich-17640603-online-armor-ouvre-une-dizaine-de-fenetres?full#16

moulinsart · Answer

Merci pour ta patience , j'avoue que j'avais oublié: je me perds un peu. 
Au redémarrage , il y a encore eu les 2 mêmes alertes Avira.

Voici le texte Avenger 
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:	ruc.bak|c:\windows\system32\drivers	cpip.sys" completed successfully.
Folder "c:\system volume information\_restore{d5fffa500b1b}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

gen-hackman · Answer

on vient de me proposer un truc qui pourrait fonctionner :

desactive ta restauration systeme puis redemarre ton pc

moulinsart · Answer

Voilà, c'est fait . Est-ce que je laisse toujours affichés les dossiers cachés, s'il te plaît?

gen-hackman · Answer

maintenant supprime DrWeb , retelecharge-le , puis relance-le , le cable internet deconnecté 

n'oublie pas : desinfecter et non supprimer comme indiqué plus haut

moulinsart · Answer

Bonsoir Gen-Hackman,
J'ai lancé DrWeb après avoir déconnecté le PC d'internet, là je t'écris avec un autre ordi .
Le premier scan , le rapide, est très long.Il a déjà trouvé une vidéo qui lui déplait : est ce que je peux la mettre à la poubelle avant de lancer l'analyse complète?
L'analyse complète va donc être très longue  et je te posterai le rapport demain.
Merci de me dire s'il est possible de je ter tout de suite la vidéo.
Merci

gen-hackman · Answer

avec drweb oui

moulinsart · Answer

Merci . Bonne nuit

gen-hackman · Answer

ok avec l'espoir que ce soit bon :)

moulinsart · Answer

Bonjour Gen-Hackman,
Je réquisitionne encore un peu tes connaissances.
Ce matin au redémarrage de l'ordi "ils étaient toujours là !
Si tu as une autre idée , je t'en remercie. par avance , sinon ...je ne sais pas.

je te poste le rapport de DrWeb:
VIDEO_TS.VOB;D:\Mes documents\LN\3 brigands\Les trois brigands (F)\VIDEO_TS;Trojan.Click1.5417;Irréparable.Quarantaine.;
ScanReg.exe;C:\Program Files\SEAF;Adware.Urlblazer.30;Irréparable.Quarantaine.;
smss.exe.vir;C:\Qoobox\Quarantine\C\System Volume Information\Whistler;Win32.HLLC.Asdas.8;Irréparable.Quarantaine.;
svchost.exe.vir;C:\Qoobox\Quarantine\C\System Volume Information\Whistler;Win32.HLLC.Asdas.8;Irréparable.Quarantaine.;
setup.exe;C:\RECYCLER\S-1-5-21-1275210071-299502267-1801674531-1004\Dc3\Quarantine;Probablement BACKDOOR.Trojan;Irréparable.Quarantaine.;
SEAF.exe\ScanReg.exe;D:\Mes documents\Téléchargements\SEAF.exe;Adware.Urlblazer.30;;
SEAF.exe;D:\Mes documents\Téléchargements;L'archive contient des éléments infectés;Quarantaine.;

gen-hackman · Answer

non

tu peux me donner leur chemin actuel ?

moulinsart · Answer

Voici ce que dit AVIRA
Erreur dans AntiVir Guard.
Dans le fichier 'C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe'
un virus ou un programme indésirable 'TR/Vilsel.aejm' [trojan] a été détecté.
Action exécutée : Supprimer le fichier


Texte d'erreur :	Echec de l'action pour le fichier : C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
Code d'erreur :	[0x00000005 - Accès refusé.].

Je ne trouve pas d'autre affichage dans Avira;

gen-hackman · Answer

tu es bien sur d avoir desactivé la retauration systeme ?

oui bloque et coche "se souvenir de cette action"

moulinsart · Answer

Oui, la restauration système est toujours désactivée;
Mais je viens de faire une GROSSE bêtise: j'ai cliqué sur ALLOW dans onlinearmor!
Evidemment je ne sais pas si je peux corriger cette erreur. 
Merci de ton avis (aïe)

gen-hackman · Answer

oui en ouvrant online armor onglet parefeu ou firewall et là tu devrais retrouver le processus et pouvoir le bloquer

moulinsart · Answer

Bien, cette fois_ci tout va mal.
J'ai réussi à retrouver svchot.exe dans la liste firewall d'online armor et à le bloquer mais depuis je n'ai plus ionternet, mlà je t'écris avec l'autre PC.
J'ai éteint et rallumé rien n'y fait. Depuis peu j'avais des fenêtres pub intempestives  qui s'ouvrait dont le nom dans le bandeau bleu , en haut , était suvies de la mention Internet explorer.
Mais là je ne peux ouvrir Mozilla ni même I E.
Donc j'ai tout éteint.
Je dois partir et je réessaye dans une heure ou deux Et je te raconte tout.
SNIF!

gen-hackman · Answer

ok à mon avis il va falloir le moyen radical à moins que quelqu'un ait une idée.........

moulinsart · Answer

Rebonjour,
je suppose que le "moyen radical " est de formater le disque dur.Est- ce que c'est à ma portée? J'ai toujours le CD d'installation et dans ce cas sur quel site trouver un guide à ma portée? Ou bien vaut-il mieux demander à un professionnel? A moins que tu penses que cela ne vaille pas le coup? J'accepte volontiers ton avis et merci d'avance.

dédétraqué · Answer

Salut moulinsart, gen


J'ai pas été présent cette fin de semaine, je prend la suite :

Télécharge DDS de sUBs, sur le bureau. L'outil ne nécessite pas d'installation, lance-le en cliquant sur l'icône dds.scr ou dds.com(clic droit executer en tant qu'administrateur sous vista & seven) , y'a les 2 liens

https://download.bleepingcomputer.com/sUBs/dds.scr
ou
https://download.bleepingcomputer.com/sUBs/dds.com

Une fenêtre DOS va apparaitre. Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau, contenu que tu posteras. Il te sera demandé si tu veux faire le scan optionnel. Accepte.
Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.


------


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

moulinsart · Answer

Bonjour à tous les deux,
Merci vraiment Dédétraqué de ta proposition mais je ne parviens plus à me connecter ni avec Mozilla ni avec IE ( là j'utilise un autre PC ) donc je ne peux pas télécharger quoique ce soit.
De plus le PC a un comportement de plus en plus bizarre.
Avec l'idée de sauvegarder mes documents, j'ai commencé hier soir à mettre de l'ordre dedans.
Je vous remercie mille fois du le temps passé à m'aider mais je vais abandonner la partie car je suis un peu  désespérée.
Vu l'âge du PC,il faut peut-être que  j'envisage d' investir dans un neuf...Mais avant cela, je me demandais s'il était compliqué de formater C ou bien si ce n'est qu'à la portée d'un Pro, à moins que cela ne serve à rien , à votre avis.
Merci  à tous les deux pour tout ce temps passé et merci d'avance de me donner encore un dernier avis.

gen-hackman · Answer

ok pour formater C:\

tu peux le faire toi meme mais il faut cependant :

avoir tes pilotes pour installer apres la reinstallation de windows
le cd de windows 

à moins que tu aies les DVD recovery , auquel cas plus besoin des pilotes ils sont integres

moulinsart · Answer

Bon j'ai l'impression de me répéter mais mille mercis à vous deux.
Le problème n'étant pas vraiment résolu , je le marque malgré tout comme résolu ou pas?

gen-hackman · Answer

non

Malekal_morte- · Answer

Online-Armor me signale à l'instant que C:\Système Volume
Information \_restore{c5fffa500b1b}\svchot.exe veut créer un dossier
C:\WINDOWS\TEMP\ctv1985.exe
je suppose qu'il faut BLOQUER mais je ne sais pas si ce genre d'annonce peut t'aider à résoudre toutça;

Whistler Bootkit, lire : 
https://forum.malekal.com/viewtopic.php?t=25956&start=

T'as une proc de désinfection avec.

Malekal_morte- · Answer

Au passage, si tu pouvais uploader C:\WINDOWS\TEMP\ctv1985.exe  sur http://upload.malekal.com
Ce serait cool !

thx !

moulinsart · Answer

Bonjour, après quelques jours d'absence, me revoilà.Je voulais vous tenir au courant. J'ai formaté C et tout a l'air de marcher après réinstallation des drivers.
Le seul problème est que je parviens pas à mettre un parefeu car mon Windows est vieux, Windows XP pro , version 0, donc je me contente du parefeu de Windows.
Désolée donc, je ne peux pas faire ce que me demande Malekal_morte ,cela aurait été volontiers .
Encore mille fois MERCI.

Online Armor ouvre une dizaine de fenêtres..

177 réponses

Discussions similaires