virus help!! Fermé

Question

Bonjour, 

J'ai le message:" your system is infected en rouge sur fond noir à la place de mon fond d'ecran, j'ai toujours acces à internet, mais je ne peux pas nettoyer le system, il bloque et j'ai plein de fenetres qui s'ouvrent et me renvoient sur un site d'antivirus... aidez moi svp, d'avance merci.
Configuration: Windows XP / Internet Explorer 7.0

dédétraqué · Answer

Salut Hélène164, bienvenue sur CCM


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++  :)

Hélène164 · Answer

Bonsoir, et merci pour cette reponse rapide, voici le premier rapport
https://www.cjoint.com/?fuxRRuJYHs 
et le second
https://www.cjoint.com/?fuxTUu0nYZ

dédétraqué · Answer

Salut Hélène164


Faire un clic droit sur ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom bibite.exe clique sur Enregistrer

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur bibite.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

Hélène164 · Answer

Voici le rapport de combofix. Merci encore. ComboFix 10-05-20.06 - Hélène 21/05/2010 0:35.1.2 - x86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.727 [GMT 2:00] Lancé depuis: c:\documents and settings\Hélène\Bureau\bibite.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\docume~1\HLNE~1\LOCALS~1\Temp\svchost.exe c:\program files\Securityessentials2010 c:\program files\Securityessentials2010\SE2010.exe c:\windows\system32\18467.exe c:\windows\system32\19169.exe c:\windows\system32\26500.exe c:\windows\system32\41.exe c:\windows\system32\6334.exe c:\windows\system32\AutoRun.inf c:\windows\system32\helpers32.dll c:\windows\system32\smss32.exe c:\windows\system32\warnings.html c:\windows\system32\winlogon32.exe Une copie infectée de c:\windows\system32\drivers dpcdd.sys a été trouvée et désinfectée Copie restaurée à partir de - Kitty had a snack :p . ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-20 au 2010-05-20 )))))))))))))))))))))))))))))))))))) . 2010-05-20 21:21 . 2010-05-20 21:40 -------- d-----w- c:\program files rend micro 2010-05-20 21:21 . 2010-05-20 21:22 -------- d-----w- C: sit 2010-05-20 17:16 . 2010-05-20 17:16 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-20 20:32 . 2009-01-20 02:12 -------- d-----w- c:\program files\Acer 2010-05-20 20:32 . 2009-01-20 01:31 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-05-20 17:29 . 2009-01-20 01:47 -------- d-----w- c:\program files\Google 2010-05-20 17:28 . 2010-01-30 20:25 -------- d-----w- c:\program files\eMule 2010-05-20 17:28 . 2010-03-31 14:20 -------- d-----w- c:\program files\Girafoto 2010-05-12 22:29 . 2009-01-20 01:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help 2010-03-31 18:02 . 2010-03-31 18:02 -------- d-----w- c:\documents and settings\All Users\Application Data\hps 2010-03-10 06:16 . 2009-01-20 09:27 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-03-07 11:37 . 2010-03-07 11:32 131145 ----a-w- c:\windows\hpoins15.dat 2010-02-25 06:17 . 2009-01-20 09:27 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-24 13:11 . 2009-01-20 09:27 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712] "RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280] "AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-01-25 53248] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-11-20 1398056] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-12-30 875016] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208] "snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2008-11-03 196608] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-01-22 141608] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\H'lSne\Menu D'marrer\Programmes\D'marrage\ OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-1-20 565248] BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-11-1 576104] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\Acer\Acer VCM\VC.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= "c:\Program Files\iTunes\iTunes.exe"= R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [20/01/2009 04:12 237568] S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [20/01/2009 03:35 160256] S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 . Contenu du dossier 'Tâches planifiées' 2010-05-15 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.searcheo.fr/renseignement uInternet Connection Wizard,ShellNext = iexplore IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm Trusted Zone: digital-supply.com Trusted Zone: download-soft-package.com Trusted Zone: download-software-package.com Trusted Zone: get-key-se10.com Trusted Zone: is-software-download.com Trusted Zone: digital-supply.com Trusted Zone: get-key-se10.com DPF: {83A4D5A6-E2C1-4EDD-AD48-1A1C50BD06EF} - hxxp://www.girafoto.fr/uploaders/aurigma_6_5_1_0/ImageUploader6.cab DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} - hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-WinUsr - c:\program files\Winsudate\gibusr.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-21 00:49 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x84947D01]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7681f28 \Driver\ACPI -> ACPI.sys @ 0xf75f3cb8 \Driver\atapi -> atapi.sys @ 0xf75ab852 \Driver\iaStor -> iaStor.sys @ 0xf751278c IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a ParseProcedure -> ntoskrnl.exe @ 0x80578f7a SecurityProcedure -> ntoskrnl.exe @ 0x805df529 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a ParseProcedure -> ntoskrnl.exe @ 0x80578f7a SecurityProcedure -> ntoskrnl.exe @ 0x805df529 NDIS: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xf73e9bb0 PacketIndicateHandler -> NDIS.sys @ 0xf73d8a0d SendHandler -> NDIS.sys @ 0xf73ecb40 user & kernel MBR OK ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(604) c:\windows\system32\btmmhook.dll c:\windows\system32\msls31.dll c:\windows\system32\eappprxy.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\wscntfy.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\RTHDCPL.EXE c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxext.exe c:\program files\iPod\bin\iPodService.exe c:\docume~1\HLNE~1\LOCALS~1\Temp\RtkBtMnt.exe . ************************************************************************** . Heure de fin: 2010-05-21 00:56:37 - La machine a redémarré ComboFix-quarantined-files.txt 2010-05-20 22:56 Avant-CF: 119 534 190 592 octets libres Après-CF: 120 540 495 872 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect - - End Of File - - 9CD8A72956F6F3913D00C76BD785FA3F

dédétraqué · Answer

Salut Hélène164 


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

Hélène164 · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-21 14:55:07
Windows 5.1.2600 Service Pack 3
Running: mjywnpck.exe; Driver: C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\kgkyapog.sys


---- Kernel code sections - GMER 1.0.15 ----

.rsrc           C:\WINDOWS\System32\DRIVERS\RDPCDD.sys                                     entry point in ".rsrc" section [0xA52DFC14]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[1088] ntdll.dll!NtProtectVirtualMemory     7C91D6EE 5 Bytes  JMP 006D000A 
.text           C:\WINDOWS\System32\svchost.exe[1088] ntdll.dll!NtWriteVirtualMemory       7C91DFAE 5 Bytes  JMP 006E000A 
.text           C:\WINDOWS\System32\svchost.exe[1088] ntdll.dll!KiUserExceptionDispatcher  7C91E47C 5 Bytes  JMP 006C000C 
.text           C:\WINDOWS\System32\svchost.exe[1088] USER32.dll!GetCursorPos              7E3A974E 5 Bytes  JMP 024A000A 
.text           C:\WINDOWS\System32\svchost.exe[1088] ole32.dll!CoCreateInstance           774C057E 5 Bytes  JMP 0249000A 
.text           C:\WINDOWS\Explorer.EXE[1448] ntdll.dll!NtProtectVirtualMemory             7C91D6EE 5 Bytes  JMP 00B7000A 
.text           C:\WINDOWS\Explorer.EXE[1448] ntdll.dll!NtWriteVirtualMemory               7C91DFAE 5 Bytes  JMP 00C1000A 
.text           C:\WINDOWS\Explorer.EXE[1448] ntdll.dll!KiUserExceptionDispatcher          7C91E47C 5 Bytes  JMP 00B6000C 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                    wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                    wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device           -> \Driver\iaStor \Device\Harddisk0\DR0                                   84924D01

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\System32\DRIVERS\RDPCDD.sys                                     suspicious modification
File            C:\WINDOWS\system32\drivers\iaStor.sys                                     suspicious modification

---- EOF - GMER 1.0.15 ----

dédétraqué · Answer

Salut Hélène164


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

 :filefind
RDPCDD.sys
iaStor.sys

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++   :)

helene164 · Answer

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:36 on 21/05/2010 by Hélène (Administrator - Elevation successful)

========== filefind ==========

Searching for "RDPCDD.sys "
C:\WINDOWS\system32\dllcache\rdpcdd.sys	--a--c 4224 bytes	[09:27 20/01/2009]	[12:00 14/04/2008] 4912D5B403614CE99C28420F75353332
C:\WINDOWS\system32\drivers\rdpcdd.sys	--a--- 4224 bytes	[09:27 20/01/2009]	[12:00 14/04/2008] 4912D5B403614CE99C28420F75353332

Searching for "iaStor.sys "
C:\ACER\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy32\IaStor.sys	--a--- 312344 bytes	[09:27 20/01/2009]	[09:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
C:\ACER\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy64\IaStor.sys	--a--- 388120 bytes	[09:27 20/01/2009]	[09:54 15/04/2008] 8D58627FEF3F8767665D9F4DC91CBD97
C:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys	--a--- 388120 bytes	[01:31 20/01/2009]	[16:54 15/04/2008] 8D58627FEF3F8767665D9F4DC91CBD97
C:\Program Files\Intel\Intel Matrix Storage Manager\driver\IaStor.sys	--a--- 312344 bytes	[01:31 20/01/2009]	[16:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
C:\WINDOWS\OemDir\iaStor.sys	--a--- 312344 bytes	[09:30 20/01/2009]	[09:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
C:\WINDOWS\system32\drivers\iaStor.sys	--a--- 312344 bytes	[09:30 20/01/2009]	[16:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
C:\WINDOWS\system32\DRVSTORE\iaAHCI_E7EB69FF3449D216602D0D37A1D73969621673A9\iaStor.sys	--a--c 312344 bytes	[01:31 20/01/2009]	[16:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
C:\WINDOWS\system32\ReinstallBackups\0010\DriverFiles\iaStor.sys	--a--- 312344 bytes	[01:31 20/01/2009]	[09:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87

-=End Of File=-

helene164 · Answer

Merci dédétraqué pour ton aide, j'ai un message en fond d'écran:
récupération Active Desktop, on me propose de cliquer sur restaurer Active Desktop, dois je le faire?
Sinon, le message du virus et les fenetres intempestives ont disparues, j'ai l'impression que le virus est parti...

dédétraqué · Answer

Salut Hélène164



j'ai un message en fond d'écran:
récupération Active Desktop, on me propose de cliquer sur restaurer Active Desktop, dois je le faire?
As-tu eu un plantage? Tu clique pour restaurer


Reste plus d'infection mais quelque vérification encore, 

Télécharge MBR par (GMER) sur ton Bureau :

http://www2.gmer.net/mbr/mbr.exe

- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp

- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.


@++    :)

helene164 · Answer

Bonsoir dedetraqué, oui, j'ai eu un plantage et j'ai dû redémarer, c'est fait, j'ai restauré, c'est ok.
 Je vais faire la manip que tu me dis...en attendant, j'ai une autre question: quand je tente d'acceder à ma messagerie msn, j'ai une alerte securité qui me dit que d'autres utilisateurs du web peuvent acceder aux donnees que je transmets... Donc je refuse l'acces, mais du coup, je n'ai plus acces moi non plus... 
A tout avec le rapport que tu me demandes, et je ne le dirai jamais assez: MERCI!

helene164 · Answer

re (cf message précédent)
voici le rapport
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

dédétraqué · Answer

Salut Hélène164


Faudrait me donner plus de détails sur ton problème de messagerie, quel navigateur utilises-tu?
Peux-tu me donner le message d'alerte exacte que tu-as?
Avais-tu ce problème avant l'infection?

-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK  Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++   :)

helene164 · Answer

ok, je vais m'y mettre, sinon, j'utilise internet explorer, et je vais sur windows live, et sur msn, ce message apparait lorsque je veux acceder à ma messagerie, non, je ne l'avais pas avant l'infection.
Voici le message alerte sécurité:  La connexion que vous allez utiliser n'est pas sécurisée, d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez.   Voulez vous continuer?
Je clique non évidemment... Et je ne peux pas lire mes messages.... sniff

helene164 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4131

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

23/05/2010 00:31:26
mbam-log-2010-05-23 (00-31-26).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 170832
Temps écoulé: 29 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Program Files\Securityessentials2010\SE2010.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\helpers32.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{51845276-3886-4492-9EB3-92A74C3309F5}\RP294\A0023047.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{51845276-3886-4492-9EB3-92A74C3309F5}\RP294\A0023054.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Hélène\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\Hélène\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.

dédétraqué · Answer

Salut Hélène164 


Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

helene164 · Answer

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=58cd3fbcf84b054cb97a94f422b4141d
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-05-23 12:33:57
# local_time=2010-05-23 02:33:57 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 211329 211329 0 0
# compatibility_mode=8192 67108863 100 0 319 319 0 0
# scanned=54668
# found=5
# cleaned=5
# scan_time=15087
C:\HELENE\elodie ds\r4DS\imgview0.6 for R4\misc\??IPK?????????.exe	probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\smss32.exe.vir	a variant of Win32/Kryptik.EMG trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\warnings.html.vir	Win32/TrojanDownloader.FakeAlert.AUD trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon32.exe.vir	a variant of Win32/Kryptik.EMG trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\rdpcdd.sys.vir	Win32/Olmarik.ZC trojan (cleaned - quarantined)	00000000000000000000000000000000	C

dédétraqué · Answer

Salut Hélène164 


Avais-tu un Antivirus avant? Faudrait en installer un....

As-tu encore ton souci de messagerie?


@++    :)

Hélène164 · Answer

Bonsoir dedetraqué, non je n'avais pas d'antivirus, et oui, j'ai toujours le souci de messagerie. Je peux supprimer tout ce que j'ai ajouté sur mon bureau maintenant? Et quel antivirus me conseilles tu? 
Merci encore pour ton aide claire et efficace.

dédétraqué · Answer

Salut Hélène164 


Non supprime rien pour l'instant, je te conseil Antivir de Avira en français ici :

http://dlce.antivir.com/package/wks_avira/win32/fr/pecl/avira_antivir_personal_fr.exe

Aide : http://www.libellules.ch/tuto_antivir.php

Suivre le tutoriel, faire un scan complet en mode sans échec et sauvegarde le rapport.
Redémarre en mode normal et poste le rapport.


@++   :)

Hélène164 · Answer

Bonjour Dedetraqué
OK c'est fait, voici le rapport:


Avira AntiVir Personal
Date de création du fichier de rapport : mardi 25 mai 2010  10:32

La recherche porte sur 2151039 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Mode sans échec
Identifiant             : Hélène
Nom de l'ordinateur     : ACER-932E1ED6FF

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 09:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 08:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 09:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 08:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 05:35:52
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 08:23:40
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 08:24:07
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 08:24:15
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 08:24:28
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 08:24:49
VBASE006.VDF            : 7.10.6.83      2048 Bytes  15/04/2010 08:24:49
VBASE007.VDF            : 7.10.6.84      2048 Bytes  15/04/2010 08:24:49
VBASE008.VDF            : 7.10.6.85      2048 Bytes  15/04/2010 08:24:50
VBASE009.VDF            : 7.10.6.86      2048 Bytes  15/04/2010 08:24:50
VBASE010.VDF            : 7.10.6.87      2048 Bytes  15/04/2010 08:24:50
VBASE011.VDF            : 7.10.6.88      2048 Bytes  15/04/2010 08:24:50
VBASE012.VDF            : 7.10.6.89      2048 Bytes  15/04/2010 08:24:50
VBASE013.VDF            : 7.10.6.90      2048 Bytes  15/04/2010 08:24:50
VBASE014.VDF            : 7.10.6.123    126464 Bytes  19/04/2010 08:24:51
VBASE015.VDF            : 7.10.6.152    123392 Bytes  21/04/2010 08:24:53
VBASE016.VDF            : 7.10.6.178    122880 Bytes  22/04/2010 08:24:54
VBASE017.VDF            : 7.10.6.206    120320 Bytes  26/04/2010 08:24:55
VBASE018.VDF            : 7.10.6.232     99328 Bytes  28/04/2010 08:24:56
VBASE019.VDF            : 7.10.7.2     155648 Bytes  30/04/2010 08:24:57
VBASE020.VDF            : 7.10.7.26    119808 Bytes  04/05/2010 08:24:58
VBASE021.VDF            : 7.10.7.51    118272 Bytes  06/05/2010 08:24:59
VBASE022.VDF            : 7.10.7.75    404992 Bytes  10/05/2010 08:25:03
VBASE023.VDF            : 7.10.7.100    125440 Bytes  13/05/2010 08:25:04
VBASE024.VDF            : 7.10.7.119    177664 Bytes  17/05/2010 08:25:06
VBASE025.VDF            : 7.10.7.139    129024 Bytes  19/05/2010 08:25:07
VBASE026.VDF            : 7.10.7.157    145920 Bytes  21/05/2010 08:25:08
VBASE027.VDF            : 7.10.7.158      2048 Bytes  21/05/2010 08:25:08
VBASE028.VDF            : 7.10.7.159      2048 Bytes  21/05/2010 08:25:09
VBASE029.VDF            : 7.10.7.160      2048 Bytes  21/05/2010 08:25:09
VBASE030.VDF            : 7.10.7.161      2048 Bytes  21/05/2010 08:25:09
VBASE031.VDF            : 7.10.7.163     54272 Bytes  24/05/2010 08:25:09
Version du moteur       : 8.2.1.242
AEVDF.DLL               : 8.1.2.0      106868 Bytes  25/05/2010 08:25:34
AESCRIPT.DLL            : 8.1.3.29    1343866 Bytes  25/05/2010 08:25:34
AESCN.DLL               : 8.1.6.1      127347 Bytes  25/05/2010 08:25:30
AESBX.DLL               : 8.1.3.1      254324 Bytes  25/05/2010 08:25:35
AERDL.DLL               : 8.1.4.6      541043 Bytes  25/05/2010 08:25:30
AEPACK.DLL              : 8.2.1.1      426358 Bytes  25/05/2010 08:25:27
AEOFFICE.DLL            : 8.1.1.0      201081 Bytes  25/05/2010 08:25:25
AEHEUR.DLL              : 8.1.1.27    2670967 Bytes  25/05/2010 08:25:24
AEHELP.DLL              : 8.1.11.3     242039 Bytes  25/05/2010 08:25:15
AEGEN.DLL               : 8.1.3.9      377203 Bytes  25/05/2010 08:25:14
AEEMU.DLL               : 8.1.2.0      393588 Bytes  25/05/2010 08:25:12
AECORE.DLL              : 8.1.15.3     192886 Bytes  25/05/2010 08:25:11
AEBB.DLL                : 8.1.1.0       53618 Bytes  25/05/2010 08:25:10
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 06:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 13:13:31
AVREP.DLL               : 8.0.0.7      159784 Bytes  25/05/2010 08:25:36
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 13:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 13:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 08:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 13:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 06:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 13:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 11:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 14:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 25 mai 2010  10:32

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '77' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.


Fin de la recherche : mardi 25 mai 2010  11:22
Temps nécessaire: 50:28 Minute(s)

La recherche a été effectuée intégralement

   7050 Les répertoires ont été contrôlés
 223984 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 223983 Fichiers non infectés
   7226 Les archives ont été contrôlées
      1 Avertissements
      1 Consignes

Merci.

dédétraqué · Answer

Salut Hélène164


Ce rapport est propre, as-tu d'autre souci?


@++   :)

Hélène164 · Answer

Bonjour dedetraqué,
Non pour le moment tout va bien, merci beaucoup, je te suis très reconnaissante.

What else?

dédétraqué · Answer

Salut Hélène164


Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php


-----


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)

Hélène164 · Answer

Bonjour dédétraqué, voici le rapport
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Hélène\Bureau\mbr.log: trouvé !
C:\Documents and Settings\Hélène\Bureau\mbr.exe: trouvé !
C:\Documents and Settings\Hélène\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Hélène\Bureau\mbr.log: supprimé !
C:\Documents and Settings\Hélène\Bureau\mbr.exe: supprimé !
C:\Documents and Settings\Hélène\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
Merci encore.......

Hélène164 · Answer

windows update ne marche pas, connexion impossible...

dédétraqué · Answer

Salut Hélène164  


Fais la deuxième étape avec Dial-a-fix :

http://forum.telecharger.01net.com/forum/high-tech/LOGICIELS/Windows-XP/reparer-windows-update-sujet_342555_1.htm


Tiens moi au courant


@++   :)

Hélène164 · Answer

Bonjour dédétraqué, zarive pas à dézipper dial a fix, le dossier est endommagé...c'est ce que me dit l'ordi... aide moi stp......
Merci.

dédétraqué · Answer

Salut Hélène164 


Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire un double clique sur OTL.exe présent sur le bureau pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres!

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++   :)

Hélène164 · Answer

Bonsoir dédétraqué, et merci pour ton suivi.Voici les rapports demandés:
https://www.cjoint.com/?fEaMUo8bEl
https://www.cjoint.com/?fEaOXyz2RW
 Que ferais-je sans toi? lol

dédétraqué · Answer

Salut Hélène164


Double clic sur OTL.exe pour le lancer.

* Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Files
C:\Documents and Settings\Hélène\Application Data\qvjsge.dat

:Commands
[Emptytemp]


* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


------


Essai de nouveau avec Dial-a-fix ici: 
https://www.cjoint.com/?fEvU6YOuG7


@++   :)

Hélène164 · Answer

Bonsoir dédétraque, voici le rapport OTL:
All processes killed
========== FILES ==========
C:\Documents and Settings\Hélène\Application Data\qvjsge.dat moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 61462536 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 75 bytes
 
User: Hélène
->Temp folder emptied: 8579112 bytes
->Temporary Internet Files folder emptied: 101055653 bytes
->Java cache emptied: 87990706 bytes
->Google Chrome cache emptied: 10120067 bytes
->Flash cache emptied: 1999654 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 24377500 bytes
->Flash cache emptied: 2418 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1061574 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 67 bytes
RecycleBin emptied: 1446103111 bytes
 
Total Files Cleaned = 1 662,00 mb
 
 
OTL by OldTimer - Version 3.2.5.1 log created on 05302010_222034

Files\Folders moved on Reboot...
C:\Documents and Settings\Hélène\Local Settings\Temporary Internet Files\Content.IE5\0OHYMAAQ\affich-17798877-virus-help[1].htm moved successfully.

Registry entries deleted on Reboot...

Hélène164 · Answer

ok pour dial a fix, mais toujours pas de connection possible pour windows update

dédétraqué · Answer

Salut Hélène164


Voir avec les autres méthodes et tiens moi au courant :
http://forum.telecharger.01net.com/forum/high-tech/LOGICIELS/Windows-XP/reparer-windows-update-sujet_342555_1.htm


@++   :)

Virus help!!

34 réponses

Discussions similaires