Ask.com + IE + Uhepeb.exe
Résolu/Fermé
A voir également:
- Ask.com + IE + Uhepeb.exe
- Ie tab - Télécharger - Outils pour navigateurs
- Ie portable ✓ - Forum Windows XP
- Ie 11 - Télécharger - Navigateurs
- Ie 9 - Télécharger - Navigateurs
- Ie 10 - Télécharger - Navigateurs
21 réponses
Ha oui, aussi je n'ai pas de barre de tache qui s'est rajouté sur IE ou Firefox contrairement à tout ceux dont j'ai lu qu'il avait le probleme avec ask.com.
Utilisateur anonyme
30 mai 2010 à 14:43
30 mai 2010 à 14:43
bonjour,
tu as une grosse infection sur ton pc !
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\INSTALLES LA CONSOLE DE RECUPERATION
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
tu as une grosse infection sur ton pc !
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\INSTALLES LA CONSOLE DE RECUPERATION
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Merci pour ta réponse,
Voici le log :
Il a reboot une fois durant le procédé car : "présence d'activité de rootkit" ?
ComboFix 10-05-29.05 - Pierre 30/05/2010 16:53:44.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.32.1036.18.3581.2617 [GMT 2:00]
Lancé depuis: c:\users\Pierre\Desktop\Combofix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Kaspersky Anti-Virus *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\Pierre\AppData\Roaming\02000000d48704ce922C.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922O.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922P.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922S.manifest
c:\users\Pierre\AppData\Roaming\SystemProc
c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
c:\users\Pierre\AppData\Roaming\SystemProc\upd.exe
c:\windows\system32\h7t.wt
c:\windows\system32\hgtd.ruy
c:\windows\system32\nmklo.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\wbem\grpconv.exe
c:\windows\system32\zzkmakjy.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-30 ))))))))))))))))))))))))))))))))))))
.
2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\Pierre\AppData\Local\temp
2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\elephant\AppData\Local\temp
2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-30 12:08 . 2010-05-30 12:08 388096 ----a-r- c:\users\Pierre\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-05-30 12:08 . 2010-05-30 12:08 -------- d-----w- c:\program files\Trend Micro
2010-05-30 10:08 . 2010-05-30 10:08 -------- d-----w- c:\program files\CCleaner
2010-05-30 02:11 . 2010-05-30 02:12 27904 ----a-w- c:\windows\system32\drivers\nwlnkfwd.sys
2010-05-30 00:52 . 2010-05-30 00:50 124928 ----a-w- c:\windows\Uhepeb.exe
2010-05-30 00:51 . 2010-05-30 00:51 50981 ----a-w- c:\windows\system32\tjtqrudjpueck.exe
2010-05-30 00:50 . 2010-05-30 00:50 182272 ----a-w- c:\windows\system32\D3DCompiler_3432.dll
2010-05-30 00:49 . 2010-05-30 00:49 124928 ----a-w- c:\windows\Uhepea.exe
2010-05-29 13:09 . 2006-11-10 14:03 615424 ----a-w- c:\windows\system32\themeui.dll
2010-05-12 14:38 . 2010-05-12 14:38 -------- d-----w- c:\users\Pierre\AppData\Roaming\LolClient
2010-05-09 23:44 . 2010-05-09 23:44 -------- d-----w- c:\programdata\DivX
2010-05-08 15:38 . 2010-05-08 15:38 -------- d-----w- c:\users\Pierre\AppData\Roaming\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
2010-05-08 15:24 . 2010-05-08 15:24 38784 ----a-w- c:\users\Pierre\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-05-08 15:23 . 2010-05-08 15:24 -------- d-----w- c:\program files\Common Files\Adobe AIR
2010-05-08 15:23 . 2010-05-08 15:24 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-05-08 15:20 . 2010-05-30 10:36 -------- d-----w- c:\program files\League of Legends
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-30 14:59 . 2008-01-21 08:40 669578 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-30 14:59 . 2008-01-21 08:40 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-30 14:52 . 2008-09-24 19:32 -------- d-----w- c:\programdata\Kaspersky Lab
2010-05-30 14:51 . 2008-09-24 19:32 9422368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-05-30 14:51 . 2008-09-24 19:32 82028 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-05-30 14:51 . 2008-09-24 19:32 5028 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-05-30 14:51 . 2008-09-24 19:32 1155104 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-05-30 14:51 . 2008-08-02 11:45 12 ----a-w- c:\windows\bthservsdp.dat
2010-05-30 13:19 . 2008-08-07 12:25 27934 ----a-w- c:\programdata\nvModes.dat
2010-05-30 13:12 . 2008-11-02 20:43 -------- d-----w- c:\users\Pierre\AppData\Roaming\Skype
2010-05-30 12:03 . 2008-11-02 20:45 -------- d-----w- c:\users\Pierre\AppData\Roaming\skypePM
2010-05-30 12:01 . 2008-08-07 11:54 81928 ----a-w- c:\users\Pierre\AppData\Local\GDIPFONTCACHEV1.DAT
2010-05-30 11:03 . 2008-12-13 22:37 -------- d-----w- c:\program files\Steam
2010-05-30 10:57 . 2009-08-20 13:42 -------- d-----w- c:\program files\Image-Line
2010-05-30 10:10 . 2008-10-10 19:40 -------- d-----w- c:\users\Pierre\AppData\Roaming\Media Player Classic
2010-05-30 02:25 . 2008-08-02 09:56 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-30 02:11 . 2010-05-30 02:11 12 ----a-w- c:\users\Pierre\AppData\Roaming\vlsfdq.dat
2010-05-30 02:11 . 2008-08-02 09:59 -------- d-----w- c:\program files\Creative
2010-05-27 22:10 . 2008-09-18 14:43 -------- d-----w- c:\users\Pierre\AppData\Roaming\LimeWire
2010-05-23 17:28 . 2009-12-23 16:32 -------- d-----w- c:\users\Pierre\AppData\Roaming\uTorrent
2010-05-19 00:09 . 2008-09-02 21:15 -------- d-----w- c:\users\Pierre\AppData\Roaming\mIRC
2010-05-19 00:05 . 2008-09-02 21:15 -------- d-----w- c:\program files\mIRC
2010-05-12 08:56 . 2009-11-03 17:53 -------- d-----w- c:\program files\Heroes of Newerth
2010-05-02 11:48 . 2009-12-23 16:33 -------- d-----w- c:\program files\uTorrent
2010-04-27 14:41 . 2009-10-24 12:52 -------- d-----w- c:\program files\Full Tilt Poker
2010-04-27 14:33 . 2008-08-02 09:56 -------- d-----w- c:\program files\Common Files\InstallShield
2010-04-26 00:17 . 2009-02-09 00:22 2269 ----a-w- c:\programdata\sortedcards.tmp
2010-04-14 19:35 . 2010-04-14 19:35 1 ----a-w- c:\windows\system32\SI.bin
2010-04-12 11:36 . 2008-10-17 18:45 680 ----a-w- c:\users\Pierre\AppData\Local\d3d9caps.dat
2010-04-11 15:57 . 2008-09-08 22:56 8426 ----a-w- c:\programdata\playercachelines.tmp
2010-04-07 17:52 . 2010-04-07 17:52 -------- d-----w- c:\program files\2K Games
2010-04-07 17:51 . 2010-04-07 17:51 -------- d-----w- c:\users\Pierre\AppData\Roaming\InstallShield
2010-04-06 18:55 . 2010-04-06 17:30 -------- d-----w- c:\users\Pierre\AppData\Roaming\DAEMON Tools Lite
2010-04-06 17:31 . 2010-04-06 17:31 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-06 17:31 . 2010-04-06 17:31 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-06 17:30 . 2010-04-06 17:30 -------- d-----w- c:\programdata\DAEMON Tools Lite
2009-10-24 20:07 . 2009-10-24 20:07 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-08-02 19:38 . 2008-08-02 19:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
------- Sigcheck -------
[-] 2009-05-03 . B7212DC9B04BB309A436153AD67BC2AD . 2921984 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2006-11-10 . 921D359C1168867B515C219ACCED9609 . 245248 . . [6.0.6000.16386] . . c:\windows\System32\shsvcs.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-02 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-01-25 167936]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-12-03 405504]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-04-09 166432]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-09 13515296]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-09 92704]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2008-04-09 92704]
"PSQLLauncher"="c:\program files\Protector Suite QL\launcher.exe" [2007-03-28 49168]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-24 30192]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
c:\users\Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-5-13 1058088]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-23 113664]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-2-22 1193240]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"DisableCAD"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-28 17:46 90112 ----a-w- c:\windows\System32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 135664]
R3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-10-24 30192]
R4 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\drivers\ianvstor.sys [2007-09-07 209408]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-04-06 691696]
S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2008-07-09 20496]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-12-03 73728]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-04-28 161048]
S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-02-01 65536]
S2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010-01-24 47664]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - oeikcb
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Tâches planifiées'
2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 16:16]
2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 16:16]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\rjya9p9p.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{B2F3568D-4054-4B9A-9DBD-D1690FC04576} - c:\windows\system32\zzkmakjy.dll
HKCU-Run-Halo2 - c:\windows\system32\sshnas21.dll
HKCU-Run-RTHDBPL - c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-30 17:01
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RTHDBPL = c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe????????????????????????????????#???????????????????????????????????????????
Recherche de fichiers cachés ...
c:\windows\TEMP\TMP0000006C761052A81CFA8BCF 524288 bytes executable
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3123093317-2579836590-720009148-1000\Software\SecuROM\License information*]
"datasecu"=hex:0f,ab,71,97,4d,3d,1a,ed,60,fa,97,09,3c,70,9a,aa,62,ea,ce,80,de,
27,f2,a3,90,c0,6b,24,57,09,29,3f,f6,29,f8,30,e5,56,7a,2b,37,14,e3,f5,fb,83,\
"rkeysecu"=hex:3d,9d,4b,c3,00,cc,90,b9,14,f3,34,c0,60,29,81,52
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(684)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll
.
Heure de fin: 2010-05-30 17:03:45
ComboFix-quarantined-files.txt 2010-05-30 15:03
Avant-CF: 20.825.550.848 octets libres
Après-CF: 20.774.891.520 octets libres
- - End Of File - - 3B4BDB3EEDD1F3752BF497E9A1D2442E
Voici le log :
Il a reboot une fois durant le procédé car : "présence d'activité de rootkit" ?
ComboFix 10-05-29.05 - Pierre 30/05/2010 16:53:44.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.32.1036.18.3581.2617 [GMT 2:00]
Lancé depuis: c:\users\Pierre\Desktop\Combofix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Kaspersky Anti-Virus *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\Pierre\AppData\Roaming\02000000d48704ce922C.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922O.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922P.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922S.manifest
c:\users\Pierre\AppData\Roaming\SystemProc
c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
c:\users\Pierre\AppData\Roaming\SystemProc\upd.exe
c:\windows\system32\h7t.wt
c:\windows\system32\hgtd.ruy
c:\windows\system32\nmklo.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\wbem\grpconv.exe
c:\windows\system32\zzkmakjy.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-30 ))))))))))))))))))))))))))))))))))))
.
2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\Pierre\AppData\Local\temp
2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\elephant\AppData\Local\temp
2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-30 12:08 . 2010-05-30 12:08 388096 ----a-r- c:\users\Pierre\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-05-30 12:08 . 2010-05-30 12:08 -------- d-----w- c:\program files\Trend Micro
2010-05-30 10:08 . 2010-05-30 10:08 -------- d-----w- c:\program files\CCleaner
2010-05-30 02:11 . 2010-05-30 02:12 27904 ----a-w- c:\windows\system32\drivers\nwlnkfwd.sys
2010-05-30 00:52 . 2010-05-30 00:50 124928 ----a-w- c:\windows\Uhepeb.exe
2010-05-30 00:51 . 2010-05-30 00:51 50981 ----a-w- c:\windows\system32\tjtqrudjpueck.exe
2010-05-30 00:50 . 2010-05-30 00:50 182272 ----a-w- c:\windows\system32\D3DCompiler_3432.dll
2010-05-30 00:49 . 2010-05-30 00:49 124928 ----a-w- c:\windows\Uhepea.exe
2010-05-29 13:09 . 2006-11-10 14:03 615424 ----a-w- c:\windows\system32\themeui.dll
2010-05-12 14:38 . 2010-05-12 14:38 -------- d-----w- c:\users\Pierre\AppData\Roaming\LolClient
2010-05-09 23:44 . 2010-05-09 23:44 -------- d-----w- c:\programdata\DivX
2010-05-08 15:38 . 2010-05-08 15:38 -------- d-----w- c:\users\Pierre\AppData\Roaming\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
2010-05-08 15:24 . 2010-05-08 15:24 38784 ----a-w- c:\users\Pierre\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-05-08 15:23 . 2010-05-08 15:24 -------- d-----w- c:\program files\Common Files\Adobe AIR
2010-05-08 15:23 . 2010-05-08 15:24 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-05-08 15:20 . 2010-05-30 10:36 -------- d-----w- c:\program files\League of Legends
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-30 14:59 . 2008-01-21 08:40 669578 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-30 14:59 . 2008-01-21 08:40 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-30 14:52 . 2008-09-24 19:32 -------- d-----w- c:\programdata\Kaspersky Lab
2010-05-30 14:51 . 2008-09-24 19:32 9422368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-05-30 14:51 . 2008-09-24 19:32 82028 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-05-30 14:51 . 2008-09-24 19:32 5028 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-05-30 14:51 . 2008-09-24 19:32 1155104 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-05-30 14:51 . 2008-08-02 11:45 12 ----a-w- c:\windows\bthservsdp.dat
2010-05-30 13:19 . 2008-08-07 12:25 27934 ----a-w- c:\programdata\nvModes.dat
2010-05-30 13:12 . 2008-11-02 20:43 -------- d-----w- c:\users\Pierre\AppData\Roaming\Skype
2010-05-30 12:03 . 2008-11-02 20:45 -------- d-----w- c:\users\Pierre\AppData\Roaming\skypePM
2010-05-30 12:01 . 2008-08-07 11:54 81928 ----a-w- c:\users\Pierre\AppData\Local\GDIPFONTCACHEV1.DAT
2010-05-30 11:03 . 2008-12-13 22:37 -------- d-----w- c:\program files\Steam
2010-05-30 10:57 . 2009-08-20 13:42 -------- d-----w- c:\program files\Image-Line
2010-05-30 10:10 . 2008-10-10 19:40 -------- d-----w- c:\users\Pierre\AppData\Roaming\Media Player Classic
2010-05-30 02:25 . 2008-08-02 09:56 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-30 02:11 . 2010-05-30 02:11 12 ----a-w- c:\users\Pierre\AppData\Roaming\vlsfdq.dat
2010-05-30 02:11 . 2008-08-02 09:59 -------- d-----w- c:\program files\Creative
2010-05-27 22:10 . 2008-09-18 14:43 -------- d-----w- c:\users\Pierre\AppData\Roaming\LimeWire
2010-05-23 17:28 . 2009-12-23 16:32 -------- d-----w- c:\users\Pierre\AppData\Roaming\uTorrent
2010-05-19 00:09 . 2008-09-02 21:15 -------- d-----w- c:\users\Pierre\AppData\Roaming\mIRC
2010-05-19 00:05 . 2008-09-02 21:15 -------- d-----w- c:\program files\mIRC
2010-05-12 08:56 . 2009-11-03 17:53 -------- d-----w- c:\program files\Heroes of Newerth
2010-05-02 11:48 . 2009-12-23 16:33 -------- d-----w- c:\program files\uTorrent
2010-04-27 14:41 . 2009-10-24 12:52 -------- d-----w- c:\program files\Full Tilt Poker
2010-04-27 14:33 . 2008-08-02 09:56 -------- d-----w- c:\program files\Common Files\InstallShield
2010-04-26 00:17 . 2009-02-09 00:22 2269 ----a-w- c:\programdata\sortedcards.tmp
2010-04-14 19:35 . 2010-04-14 19:35 1 ----a-w- c:\windows\system32\SI.bin
2010-04-12 11:36 . 2008-10-17 18:45 680 ----a-w- c:\users\Pierre\AppData\Local\d3d9caps.dat
2010-04-11 15:57 . 2008-09-08 22:56 8426 ----a-w- c:\programdata\playercachelines.tmp
2010-04-07 17:52 . 2010-04-07 17:52 -------- d-----w- c:\program files\2K Games
2010-04-07 17:51 . 2010-04-07 17:51 -------- d-----w- c:\users\Pierre\AppData\Roaming\InstallShield
2010-04-06 18:55 . 2010-04-06 17:30 -------- d-----w- c:\users\Pierre\AppData\Roaming\DAEMON Tools Lite
2010-04-06 17:31 . 2010-04-06 17:31 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-06 17:31 . 2010-04-06 17:31 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-06 17:30 . 2010-04-06 17:30 -------- d-----w- c:\programdata\DAEMON Tools Lite
2009-10-24 20:07 . 2009-10-24 20:07 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-08-02 19:38 . 2008-08-02 19:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
------- Sigcheck -------
[-] 2009-05-03 . B7212DC9B04BB309A436153AD67BC2AD . 2921984 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2006-11-10 . 921D359C1168867B515C219ACCED9609 . 245248 . . [6.0.6000.16386] . . c:\windows\System32\shsvcs.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-02 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-01-25 167936]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-12-03 405504]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-04-09 166432]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-09 13515296]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-09 92704]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2008-04-09 92704]
"PSQLLauncher"="c:\program files\Protector Suite QL\launcher.exe" [2007-03-28 49168]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-24 30192]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
c:\users\Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-5-13 1058088]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-23 113664]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-2-22 1193240]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"DisableCAD"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-28 17:46 90112 ----a-w- c:\windows\System32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 135664]
R3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-10-24 30192]
R4 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\drivers\ianvstor.sys [2007-09-07 209408]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-04-06 691696]
S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2008-07-09 20496]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-12-03 73728]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-04-28 161048]
S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-02-01 65536]
S2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010-01-24 47664]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - oeikcb
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Tâches planifiées'
2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 16:16]
2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 16:16]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\rjya9p9p.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{B2F3568D-4054-4B9A-9DBD-D1690FC04576} - c:\windows\system32\zzkmakjy.dll
HKCU-Run-Halo2 - c:\windows\system32\sshnas21.dll
HKCU-Run-RTHDBPL - c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-30 17:01
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RTHDBPL = c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe????????????????????????????????#???????????????????????????????????????????
Recherche de fichiers cachés ...
c:\windows\TEMP\TMP0000006C761052A81CFA8BCF 524288 bytes executable
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3123093317-2579836590-720009148-1000\Software\SecuROM\License information*]
"datasecu"=hex:0f,ab,71,97,4d,3d,1a,ed,60,fa,97,09,3c,70,9a,aa,62,ea,ce,80,de,
27,f2,a3,90,c0,6b,24,57,09,29,3f,f6,29,f8,30,e5,56,7a,2b,37,14,e3,f5,fb,83,\
"rkeysecu"=hex:3d,9d,4b,c3,00,cc,90,b9,14,f3,34,c0,60,29,81,52
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(684)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll
.
Heure de fin: 2010-05-30 17:03:45
ComboFix-quarantined-files.txt 2010-05-30 15:03
Avant-CF: 20.825.550.848 octets libres
Après-CF: 20.774.891.520 octets libres
- - End Of File - - 3B4BDB3EEDD1F3752BF497E9A1D2442E
Utilisateur anonyme
30 mai 2010 à 17:27
30 mai 2010 à 17:27
pas de rootkit, mais ceci en partie :
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\Pierre\AppData\Roaming\02000000d48704ce922C.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922O.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922P.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922S.manifest
c:\users\Pierre\AppData\Roaming\SystemProc
c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
c:\users\Pierre\AppData\Roaming\SystemProc\upd.exe
c:\windows\system32\h7t.wt
c:\windows\system32\hgtd.ruy
c:\windows\system32\nmklo.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\wbem\grpconv.exe
c:\windows\system32\zzkmakjy.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\Pierre\AppData\Roaming\02000000d48704ce922C.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922O.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922P.manifest
c:\users\Pierre\AppData\Roaming\02000000d48704ce922S.manifest
c:\users\Pierre\AppData\Roaming\SystemProc
c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
c:\users\Pierre\AppData\Roaming\SystemProc\upd.exe
c:\windows\system32\h7t.wt
c:\windows\system32\hgtd.ruy
c:\windows\system32\nmklo.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\wbem\grpconv.exe
c:\windows\system32\zzkmakjy.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le scan effectué avec malware :
Merci,
J'ai l'impression que ca commence tout doucement a se nettoyer :p
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 17:53:46
mbam-log-2010-05-30 (17-53-46).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139215
Temps écoulé: 4 minute(s), 58 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Merci,
J'ai l'impression que ca commence tout doucement a se nettoyer :p
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 17:53:46
mbam-log-2010-05-30 (17-53-46).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139215
Temps écoulé: 4 minute(s), 58 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Utilisateur anonyme
30 mai 2010 à 17:57
30 mai 2010 à 17:57
redemarre ton pc,
relance MBAM, vide sa quarantaine, lance un scan rapide de ton pc
poste son rapport sur ton prochain message
merci
relance MBAM, vide sa quarantaine, lance un scan rapide de ton pc
poste son rapport sur ton prochain message
merci
Je m'étais trompé la premiere fois je n'avais fait qu'un examen rapide j'ai donc d'abord refait un examen complet :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 19:07:50
mbam-log-2010-05-30 (19-07-50).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 304437
Temps écoulé: 1 heure(s), 3 minute(s), 52 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
J'ai ensuite reboot et refait un examen rapide :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 19:17:59
mbam-log-2010-05-30 (19-17-59).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139443
Temps écoulé: 4 minute(s), 53 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
a priori ce fichier infécté subsiste sinon il n'y a plus de probleme :)
Merci,
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 19:07:50
mbam-log-2010-05-30 (19-07-50).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 304437
Temps écoulé: 1 heure(s), 3 minute(s), 52 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
J'ai ensuite reboot et refait un examen rapide :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 19:17:59
mbam-log-2010-05-30 (19-17-59).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139443
Temps écoulé: 4 minute(s), 53 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
a priori ce fichier infécté subsiste sinon il n'y a plus de probleme :)
Merci,
Utilisateur anonyme
30 mai 2010 à 19:29
30 mai 2010 à 19:29
il ne va pas me le refaire une autre fois ;-)
* /!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
ou :
https://www.androidworld.fr/
(c est le numéro 7 en bas de la page) :
* Double-clique sur OTMoveIt.exe pour le lancer.
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
:files
C:\Windows\system32\Drivers\oeikcb.sys
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
redemarre ton pc,
relance un autre scan rapide avec MBAM, poste son rapport après le rapport de OTM :-)
* /!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
ou :
https://www.androidworld.fr/
(c est le numéro 7 en bas de la page) :
* Double-clique sur OTMoveIt.exe pour le lancer.
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
:files
C:\Windows\system32\Drivers\oeikcb.sys
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
redemarre ton pc,
relance un autre scan rapide avec MBAM, poste son rapport après le rapport de OTM :-)
Voici le rapport OTM :
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: elephant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pierre
->Temp folder emptied: 956 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3158009 bytes
->Flash cache emptied: 405 bytes
User: pir
->Temp folder emptied: 0 bytes
User: postgres
->Temp folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 3,00 mb
OTM by OldTimer - Version 3.1.12.1 log created on 05302010_195728
Files moved on Reboot...
File C:\Windows\system32\Drivers\oeikcb.sys not found!
Registry entries deleted on Reboot...
Si je comprend bien un des objectif était de supprimer ce fichier, il met 'not found' mais quand je vais voir dans le répertoire le fichier y est bien.
et le scan avec MBAM le détecte toujours comme infectieux.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 20:10:12
mbam-log-2010-05-30 (20-10-12).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139505
Temps écoulé: 4 minute(s), 46 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Je doute que cela fonctionne plus cette fois ci mais bon je vais quand meme reboot ;)
Merci beaucoup pour tes réponses claires et précises en tout cas :)
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: elephant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pierre
->Temp folder emptied: 956 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3158009 bytes
->Flash cache emptied: 405 bytes
User: pir
->Temp folder emptied: 0 bytes
User: postgres
->Temp folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 3,00 mb
OTM by OldTimer - Version 3.1.12.1 log created on 05302010_195728
Files moved on Reboot...
File C:\Windows\system32\Drivers\oeikcb.sys not found!
Registry entries deleted on Reboot...
Si je comprend bien un des objectif était de supprimer ce fichier, il met 'not found' mais quand je vais voir dans le répertoire le fichier y est bien.
et le scan avec MBAM le détecte toujours comme infectieux.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 20:10:12
mbam-log-2010-05-30 (20-10-12).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139505
Temps écoulé: 4 minute(s), 46 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Je doute que cela fonctionne plus cette fois ci mais bon je vais quand meme reboot ;)
Merci beaucoup pour tes réponses claires et précises en tout cas :)
Utilisateur anonyme
Modifié par Electricien 69 le 30/05/2010 à 20:34
Modifié par Electricien 69 le 30/05/2010 à 20:34
désolé, je me suis tropé dans le script :-(
relance OTM :
mets ce script dans la fenetre :
:processes
explorer.exe
:files
C:\Windows\system32\Drivers\oeikcb.sys
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
relance MBAM derrière :-)
relance OTM :
mets ce script dans la fenetre :
:processes
explorer.exe
:files
C:\Windows\system32\Drivers\oeikcb.sys
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
relance MBAM derrière :-)
Hmm j'ai refait avec le nouveau script mais il me semble que j ai toujours la meme erreur :
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: elephant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pierre
->Temp folder emptied: 2526 bytes
->Temporary Internet Files folder emptied: 2512057 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 35291077 bytes
->Flash cache emptied: 784 bytes
User: pir
->Temp folder emptied: 0 bytes
User: postgres
->Temp folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 36,00 mb
OTM by OldTimer - Version 3.1.12.1 log created on 05302010_210042
Files moved on Reboot...
File C:\Windows\system32\Drivers\oeikcb.sys not found!
Registry entries deleted on Reboot...
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: elephant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pierre
->Temp folder emptied: 2526 bytes
->Temporary Internet Files folder emptied: 2512057 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 35291077 bytes
->Flash cache emptied: 784 bytes
User: pir
->Temp folder emptied: 0 bytes
User: postgres
->Temp folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 36,00 mb
OTM by OldTimer - Version 3.1.12.1 log created on 05302010_210042
Files moved on Reboot...
File C:\Windows\system32\Drivers\oeikcb.sys not found!
Registry entries deleted on Reboot...
Utilisateur anonyme
30 mai 2010 à 21:27
30 mai 2010 à 21:27
redemarre ton pc, lance MBAM en scan rapide, on verra ce que ça donne :-)
voila :)
Toujours la meme chose en fait ;)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 21:51:57
mbam-log-2010-05-30 (21-51-57).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139787
Temps écoulé: 5 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Toujours la meme chose en fait ;)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 21:51:57
mbam-log-2010-05-30 (21-51-57).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139787
Temps écoulé: 5 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Utilisateur anonyme
Modifié par Electricien 69 le 30/05/2010 à 22:05
Modifié par Electricien 69 le 30/05/2010 à 22:05
hummm!!!
il m'embete celui ci :
:processes
oeikcb.sys
:services
oeikcb
:files
C:\Windows\system32\Drivers\oeikcb.sys
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
passe un coup de MBAM après un redemarrage pour vérifier s'il est toujours là ou non !!!
il m'embete celui ci :
:processes
oeikcb.sys
:services
oeikcb
:files
C:\Windows\system32\Drivers\oeikcb.sys
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
passe un coup de MBAM après un redemarrage pour vérifier s'il est toujours là ou non !!!
Toujours le meme message :s
Mais le fichier est toujours la, j'ai plus lancé MBAM j'ai été voir directement dans le répertoire ;)
Mais que fait un rootkit exactement ?
All processes killed
========== PROCESSES ==========
No active process named oeikcb.sys was found!
========== SERVICES/DRIVERS ==========
Error: No service named oeikcb was found to stop!
Service\Driver key oeikcb not found.
========== FILES ==========
File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: elephant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pierre
->Temp folder emptied: 1564 bytes
->Temporary Internet Files folder emptied: 1053217 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 28514378 bytes
->Flash cache emptied: 606 bytes
User: pir
->Temp folder emptied: 0 bytes
User: postgres
->Temp folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 28,00 mb
OTM by OldTimer - Version 3.1.12.1 log created on 05302010_221028
Files moved on Reboot...
File C:\Windows\system32\Drivers\oeikcb.sys not found!
Registry entries deleted on Reboot...
Mais le fichier est toujours la, j'ai plus lancé MBAM j'ai été voir directement dans le répertoire ;)
Mais que fait un rootkit exactement ?
All processes killed
========== PROCESSES ==========
No active process named oeikcb.sys was found!
========== SERVICES/DRIVERS ==========
Error: No service named oeikcb was found to stop!
Service\Driver key oeikcb not found.
========== FILES ==========
File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: elephant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pierre
->Temp folder emptied: 1564 bytes
->Temporary Internet Files folder emptied: 1053217 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 28514378 bytes
->Flash cache emptied: 606 bytes
User: pir
->Temp folder emptied: 0 bytes
User: postgres
->Temp folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 28,00 mb
OTM by OldTimer - Version 3.1.12.1 log created on 05302010_221028
Files moved on Reboot...
File C:\Windows\system32\Drivers\oeikcb.sys not found!
Registry entries deleted on Reboot...
Utilisateur anonyme
30 mai 2010 à 22:34
30 mai 2010 à 22:34
on va le faire autrement :
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Drivers to delete:
oeikcb
Files to delete:
c:\windows\system32\drivers\oeikcb.sys
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
repasse un autre MBAM derrière, toujour en scan rapide
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Drivers to delete:
oeikcb
Files to delete:
c:\windows\system32\drivers\oeikcb.sys
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
repasse un autre MBAM derrière, toujour en scan rapide
Avenger a eu raison de lui =D
Tu es trop fort,
Immense Merci,
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "oeikcb" deleted successfully.
File "c:\windows\system32\drivers\oeikcb.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
_____________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 22:47:55
mbam-log-2010-05-30 (22-47-55).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139497
Temps écoulé: 5 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Tu es trop fort,
Immense Merci,
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "oeikcb" deleted successfully.
File "c:\windows\system32\drivers\oeikcb.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
_____________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4156
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
30/05/2010 22:47:55
mbam-log-2010-05-30 (22-47-55).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139497
Temps écoulé: 5 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Utilisateur anonyme
30 mai 2010 à 23:00
30 mai 2010 à 23:00
ok,
on finit si tu le veux bien :
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
.double-cliques sur le fichier pour lancer l'installation
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner
* pour supprimer les outils de désinfection :
Télécharge OTC de Old Timer .
http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/
Utilisateur de vista et Windows 7 :Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur.
Clique sur le bouton "CleanUp!" .
Sélectionne Oui lorsque la demande " processus de nettoyage?" s'affiche.
Si tu es invité à redémarrer le PC au cours de l'assainissement, sélectionne Oui.
L'outil va se supprimer lui-même une fois la fin de l'opération.
Sinon, supprime les manuellement
* Désactivation, puis Réactivation de la restauration système après désinfection :
Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista
fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
on finit si tu le veux bien :
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
.double-cliques sur le fichier pour lancer l'installation
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner
* pour supprimer les outils de désinfection :
Télécharge OTC de Old Timer .
http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/
Utilisateur de vista et Windows 7 :Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur.
Clique sur le bouton "CleanUp!" .
Sélectionne Oui lorsque la demande " processus de nettoyage?" s'affiche.
Si tu es invité à redémarrer le PC au cours de l'assainissement, sélectionne Oui.
L'outil va se supprimer lui-même une fois la fin de l'opération.
Sinon, supprime les manuellement
* Désactivation, puis Réactivation de la restauration système après désinfection :
Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista
fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
Tout est nikel :)
J'ai fait le clean up et mon anti-virus ne détecte plus rien a priori :)
Hormis la Désactivation, puis Réactivation de la restauration système après désinfection que je n'arrive pas a faire car arriver dans propriété il cherche mais il ne trouve jamais me disque ou je suis censé avoir mon point de restauration... oO
Un tout grand merci,
piR
J'ai fait le clean up et mon anti-virus ne détecte plus rien a priori :)
Hormis la Désactivation, puis Réactivation de la restauration système après désinfection que je n'arrive pas a faire car arriver dans propriété il cherche mais il ne trouve jamais me disque ou je suis censé avoir mon point de restauration... oO
Un tout grand merci,
piR
