Processus qui pompent 100% de l'uc
Fermé
Tom
-
17 mai 2010 à 22:38
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 mai 2010 à 17:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 mai 2010 à 17:48
A voir également:
- Processus qui pompent 100% de l'uc
- Google drive 100 go gratuit - Guide
- 100 mo en go ✓ - Forum Windows
- Formate pour taxer client 100€ ✓ - Forum Consommation & Internet
- Formaté mais pas de connexion Internet ? ✓ - Forum Matériel & Système
- 100 gb en go ✓ - Forum Matériel & Système
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 18/05/2010 à 08:43
Modifié par Malekal_morte- le 18/05/2010 à 08:43
SAlut,
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Puis :
- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Madness Rox \o/
Madness Rox \o/
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Puis :
- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Madness Rox \o/
Madness Rox \o/
Merci de ton aide !
Voici après de nombreuses tentatives et redémarrage sauvage voici le rapport
Pour info le PC que je tente de sauver n'a pas de connexion internet.
ComboFix 10-05-16.02 - Cécile MACQUET 18/05/2010 9:58:34.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1014.620 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Cécile MACQUET\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090827-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\DOCUME~1\CÉCILE~1\LOCALS~1\Temp\cvasds0.dll
C:\DOCUME~1\CÉCILE~1\LOCALS~1\Temp\cvasds1.dll
C:\DOCUME~1\CÉCILE~1\LOCALS~1\Temp\herss.exe
C:\Documents and Settings\Cécile MACQUET\Local Settings\Temp\cvasds0.dll
C:\e9naq.exe
C:\Program Files\WinPCap
C:\Program Files\WinPCap\daemon_mgm.exe
C:\Program Files\WinPCap\npf_mgm.exe
C:\Program Files\WinPCap\rpcapd.exe
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\Uninstall.ini
D:\autorun.inf
D:\e9naq.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_NPF
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-18 au 2010-05-18 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-25 16:08:08 . 2010-03-25 16:08:06 -------- d-----w- C:\Program Files\Securitoo
2010-03-25 15:38:18 . 2010-03-25 15:38:17 -------- d-----w- C:\Program Files\Orange
2010-03-25 15:36:20 . 2010-03-25 15:36:19 -------- d-----w- C:\Program Files\Fichiers communs\France Telecom
.
------- Sigcheck -------
Erreur des Services de cryptographie !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}"= "C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll" [2008-04-03 08:52:02 265360]
[HKEY_CLASSES_ROOT\clsid\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{259EEB17-79AA-44DF-8410-8E55F82A902A}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}]
2008-04-03 08:52:02 265360 ----a-w- C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}"= "C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll" [2008-04-03 08:52:02 265360]
[HKEY_CLASSES_ROOT\clsid\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{259EEB17-79AA-44DF-8410-8E55F82A902A}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}"= "C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll" [2008-04-03 08:52:02 265360]
[HKEY_CLASSES_ROOT\clsid\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{259EEB17-79AA-44DF-8410-8E55F82A902A}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 10:55:02 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-27 15:26:46 39408]
"ztbug"="C:\Documents and Settings\Cécile MACQUET\ztbug.exe" [2010-02-24 17:39:56 81920]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-10-30 16:46:26 151597]
"ORAHSSSessionManager"="C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 11:22:58 135920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 03:00:00 15360]
C:\Documents and Settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
D'marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1997-8-29 51984]
Microsoft Recherche acc'l'r'e.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1997-8-29 111376]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Orange\\Connexion Internet Orange\\Connectivity\\ConnectivityManager.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16843:TCP"= 16843:TCP:NortonAV
"12299:TCP"= 12299:TCP:NortonAV
"14879:TCP"= 14879:TCP:NortonAV
"17735:TCP"= 17735:TCP:NortonAV
"17825:TCP"= 17825:TCP:NortonAV
"13012:TCP"= 13012:TCP:NortonAV
"14530:TCP"= 14530:TCP:NortonAV
"15140:TCP"= 15140:TCP:NortonAV
"17866:TCP"= 17866:TCP:NortonAV
"17319:TCP"= 17319:TCP:NortonAV
"16865:TCP"= 16865:TCP:NortonAV
"15137:TCP"= 15137:TCP:NortonAV
"12493:TCP"= 12493:TCP:NortonAV
"16332:TCP"= 16332:TCP:NortonAV
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20:07:12 20560]
S3 ActivHidSerMini;Promethean Serial Board Driver;C:\WINDOWS\system32\DRIVERS\activhidsermini.sys [2007-09-12 09:29:38 54016]
S3 prmvmouse;Promethean HID Mouse Service;C:\WINDOWS\system32\DRIVERS\activmouse.sys [2007-09-12 08:58:14 4480]
.
Contenu du dossier 'Tâches planifiées'
2010-05-18 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20:38 . 2007-10-19 09:20:38]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uStart Page = hxxp://www.orange.fr
uInternet Settings,ProxyServer = proxy.egid.u-bordeaux3.fr:3128
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
TCP: {362D9B6E-F8E5-429D-AD05-408170B1CC0F} = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-ShockwaveFlash - C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-18 11:23:17
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Kiwee Toolbar2\1.5.131\kwtbaim.exe
C:\Program Files\Orange\Connexion Internet Orange\systray\systrayapp.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2010-05-18 11:24:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-18 09:23:58
Avant-CF: 7 574 421 504 octets libres
Après-CF: 8 369 471 488 octets libres
- - End Of File - - 6C527E0AEEBE9A3D1322F917BF340FD8
Voici après de nombreuses tentatives et redémarrage sauvage voici le rapport
Pour info le PC que je tente de sauver n'a pas de connexion internet.
ComboFix 10-05-16.02 - Cécile MACQUET 18/05/2010 9:58:34.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1014.620 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Cécile MACQUET\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090827-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\DOCUME~1\CÉCILE~1\LOCALS~1\Temp\cvasds0.dll
C:\DOCUME~1\CÉCILE~1\LOCALS~1\Temp\cvasds1.dll
C:\DOCUME~1\CÉCILE~1\LOCALS~1\Temp\herss.exe
C:\Documents and Settings\Cécile MACQUET\Local Settings\Temp\cvasds0.dll
C:\e9naq.exe
C:\Program Files\WinPCap
C:\Program Files\WinPCap\daemon_mgm.exe
C:\Program Files\WinPCap\npf_mgm.exe
C:\Program Files\WinPCap\rpcapd.exe
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\Uninstall.ini
D:\autorun.inf
D:\e9naq.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_NPF
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-18 au 2010-05-18 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-25 16:08:08 . 2010-03-25 16:08:06 -------- d-----w- C:\Program Files\Securitoo
2010-03-25 15:38:18 . 2010-03-25 15:38:17 -------- d-----w- C:\Program Files\Orange
2010-03-25 15:36:20 . 2010-03-25 15:36:19 -------- d-----w- C:\Program Files\Fichiers communs\France Telecom
.
------- Sigcheck -------
Erreur des Services de cryptographie !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}"= "C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll" [2008-04-03 08:52:02 265360]
[HKEY_CLASSES_ROOT\clsid\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{259EEB17-79AA-44DF-8410-8E55F82A902A}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}]
2008-04-03 08:52:02 265360 ----a-w- C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}"= "C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll" [2008-04-03 08:52:02 265360]
[HKEY_CLASSES_ROOT\clsid\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{259EEB17-79AA-44DF-8410-8E55F82A902A}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}"= "C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll" [2008-04-03 08:52:02 265360]
[HKEY_CLASSES_ROOT\clsid\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{259EEB17-79AA-44DF-8410-8E55F82A902A}]
[HKEY_CLASSES_ROOT\KiweeIEToolbar.KiweeToolbar]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 10:55:02 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-27 15:26:46 39408]
"ztbug"="C:\Documents and Settings\Cécile MACQUET\ztbug.exe" [2010-02-24 17:39:56 81920]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-10-30 16:46:26 151597]
"ORAHSSSessionManager"="C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 11:22:58 135920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 03:00:00 15360]
C:\Documents and Settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
D'marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1997-8-29 51984]
Microsoft Recherche acc'l'r'e.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1997-8-29 111376]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Orange\\Connexion Internet Orange\\Connectivity\\ConnectivityManager.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16843:TCP"= 16843:TCP:NortonAV
"12299:TCP"= 12299:TCP:NortonAV
"14879:TCP"= 14879:TCP:NortonAV
"17735:TCP"= 17735:TCP:NortonAV
"17825:TCP"= 17825:TCP:NortonAV
"13012:TCP"= 13012:TCP:NortonAV
"14530:TCP"= 14530:TCP:NortonAV
"15140:TCP"= 15140:TCP:NortonAV
"17866:TCP"= 17866:TCP:NortonAV
"17319:TCP"= 17319:TCP:NortonAV
"16865:TCP"= 16865:TCP:NortonAV
"15137:TCP"= 15137:TCP:NortonAV
"12493:TCP"= 12493:TCP:NortonAV
"16332:TCP"= 16332:TCP:NortonAV
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20:07:12 20560]
S3 ActivHidSerMini;Promethean Serial Board Driver;C:\WINDOWS\system32\DRIVERS\activhidsermini.sys [2007-09-12 09:29:38 54016]
S3 prmvmouse;Promethean HID Mouse Service;C:\WINDOWS\system32\DRIVERS\activmouse.sys [2007-09-12 08:58:14 4480]
.
Contenu du dossier 'Tâches planifiées'
2010-05-18 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20:38 . 2007-10-19 09:20:38]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uStart Page = hxxp://www.orange.fr
uInternet Settings,ProxyServer = proxy.egid.u-bordeaux3.fr:3128
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
TCP: {362D9B6E-F8E5-429D-AD05-408170B1CC0F} = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-ShockwaveFlash - C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-18 11:23:17
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Kiwee Toolbar2\1.5.131\kwtbaim.exe
C:\Program Files\Orange\Connexion Internet Orange\systray\systrayapp.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2010-05-18 11:24:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-18 09:23:58
Avant-CF: 7 574 421 504 octets libres
Après-CF: 8 369 471 488 octets libres
- - End Of File - - 6C527E0AEEBE9A3D1322F917BF340FD8
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 18/05/2010 à 13:14
Modifié par Malekal_morte- le 18/05/2010 à 13:14
Il est mal entretenu ce PC, y a une barre d'outils pourrie, le service cryptographie qui marche plus :\
Faudrait que l'utilisatrice fasse plus attention, en commençant par faire attention aux programmes qu'elle installe.
Pour internet, Internet Explorer est configuré avec un proxy :
uInternet Settings,ProxyServer = proxy.egid.u-bordeaux3.fr:3128
uInternet Settings,ProxyOverride = <local>
Si c'est un portable et qu'il n'est pas sur le réseau, c'est normal que les pages ne s'affichent pas.
Il faut désactiver le proxy -> Internet Explorer / Option Internet / Onglet Connexion et décoche Proxy en bas.
En outre, faut configurer la carte réseau en DHCP pour que ça marche avec le routeur :
# Cliquer sur Démarrer > Panneau de configuration > Connexion réseau
# Cliquer avec le bouton droit sur la connexion concernée, puis onglet [Propriétés]
# Dans le cadre, sélectionner "Protocole internet (TCP/IP)" puis propriétés
# Si la bulle "obtenir une adresse IP automatiquement" est cochée mais que vous avez quand même ce problème cochez la bulle "Utiliser l'adresse IP suivante"
Pareil pour les serveurs de noms.
Pour les malwares :
En outre, elle une infection qui va par médias amovibles.
Kiwee Toolbar est à virer.
Désinstalle le dans ajout/suppression de programmes: :
Kiwee Toolbar
et si y a aussi ça : AG Windows (AGWinService)
Eventuellement Python.
Menu Démarrer / exécuter et tape msconfig puis OK.
Vas dans l'onglet démarrage.
Décoche ztbug
clic sur OK et accepte de redémarrer le PC.
Coche la case au redémarrage sur la fenêtre informative pour ne plus afficher le message.
Supprime : C:\Documents and Settings\Cécile MACQUET\ztbug.exe
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
* https://forum.malekal.com/viewtopic.php?t=5544&start=
Utilise open-config pour mettre Autorun/Autplay en désactivé (si c'est pas déjà fait) - voir : https://forum.malekal.com/viewtopic.php?t=23668&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, tu insères les clefs USB qu'elle a (tu les ouvres surtout pas) et suis le tutorial USBFix et poste les rapports option 1 et 2 ici : https://www.malekal.com/usbfix-supprimer-virus-usb/
Relance Combofix derrière et poste le rapport ici.
Madness Rox \o/
Faudrait que l'utilisatrice fasse plus attention, en commençant par faire attention aux programmes qu'elle installe.
Pour internet, Internet Explorer est configuré avec un proxy :
uInternet Settings,ProxyServer = proxy.egid.u-bordeaux3.fr:3128
uInternet Settings,ProxyOverride = <local>
Si c'est un portable et qu'il n'est pas sur le réseau, c'est normal que les pages ne s'affichent pas.
Il faut désactiver le proxy -> Internet Explorer / Option Internet / Onglet Connexion et décoche Proxy en bas.
En outre, faut configurer la carte réseau en DHCP pour que ça marche avec le routeur :
# Cliquer sur Démarrer > Panneau de configuration > Connexion réseau
# Cliquer avec le bouton droit sur la connexion concernée, puis onglet [Propriétés]
# Dans le cadre, sélectionner "Protocole internet (TCP/IP)" puis propriétés
# Si la bulle "obtenir une adresse IP automatiquement" est cochée mais que vous avez quand même ce problème cochez la bulle "Utiliser l'adresse IP suivante"
Pareil pour les serveurs de noms.
Pour les malwares :
En outre, elle une infection qui va par médias amovibles.
Kiwee Toolbar est à virer.
Désinstalle le dans ajout/suppression de programmes: :
Kiwee Toolbar
et si y a aussi ça : AG Windows (AGWinService)
Eventuellement Python.
Menu Démarrer / exécuter et tape msconfig puis OK.
Vas dans l'onglet démarrage.
Décoche ztbug
clic sur OK et accepte de redémarrer le PC.
Coche la case au redémarrage sur la fenêtre informative pour ne plus afficher le message.
Supprime : C:\Documents and Settings\Cécile MACQUET\ztbug.exe
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
* https://forum.malekal.com/viewtopic.php?t=5544&start=
Utilise open-config pour mettre Autorun/Autplay en désactivé (si c'est pas déjà fait) - voir : https://forum.malekal.com/viewtopic.php?t=23668&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, tu insères les clefs USB qu'elle a (tu les ouvres surtout pas) et suis le tutorial USBFix et poste les rapports option 1 et 2 ici : https://www.malekal.com/usbfix-supprimer-virus-usb/
Relance Combofix derrière et poste le rapport ici.
Madness Rox \o/
Merci de ta réponse et pour le diagnostic,
Pour l'instant je ne cherche pas à le relier à internet mais juste le faire tourner et l'éteindre sans retirer la batterie !
Oui le problème est apparu quand on a mis une clé usb de son boulot sur le pc
j'ai essayé à plusieurs reprise de décocher ztbug dans le menu démarrage de ms config mais il apparait de nouveau à chaque démarrage (le portable n'est pas capable de redémarrer proprement je suis donc obligé de rester 5 sec appuyé sur power et de le relancer).
J'ai essayé daller dans ajout/suppression de programme mais la liste des programme est vide !?
Je ne sais pas quoi essayer d'autre pour le nettoyer.
Penses tu qu'un formatage puisse aider sachant qu'elle a qd même des données à récupérer dessus (ce que je peux toujours tenter sur un dur externe et de le nettoyer ensuite).
Merci
Pour l'instant je ne cherche pas à le relier à internet mais juste le faire tourner et l'éteindre sans retirer la batterie !
Oui le problème est apparu quand on a mis une clé usb de son boulot sur le pc
j'ai essayé à plusieurs reprise de décocher ztbug dans le menu démarrage de ms config mais il apparait de nouveau à chaque démarrage (le portable n'est pas capable de redémarrer proprement je suis donc obligé de rester 5 sec appuyé sur power et de le relancer).
J'ai essayé daller dans ajout/suppression de programme mais la liste des programme est vide !?
Je ne sais pas quoi essayer d'autre pour le nettoyer.
Penses tu qu'un formatage puisse aider sachant qu'elle a qd même des données à récupérer dessus (ce que je peux toujours tenter sur un dur externe et de le nettoyer ensuite).
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
18 mai 2010 à 17:48
18 mai 2010 à 17:48
Nan pas besoin de formater à priori, si y a que ce que tu dis.
On bute ztbug et vois le reste pour le faire marcher et désinstaller KiweeToolbar.
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
file::
C:\Documents and Settings\Cécile MACQUET\ztbug.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ztbug"=-
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
On bute ztbug et vois le reste pour le faire marcher et désinstaller KiweeToolbar.
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
file::
C:\Documents and Settings\Cécile MACQUET\ztbug.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ztbug"=-
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
