Sujet Précédent Sujet Suivant

Antimalware doc help!!!

Fermé
al - 30 mai 2010 à 22:18
 al - 16 juin 2010 à 12:35
Bonjour,




Je poste mon rapport car moi aussi j'ai "ce malware doc"
Help please!!!!!
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org



30/05/2010 22:07:17
mbam-log-2010-05-30 (22-07-17).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 161258
Temps écoulé: 18 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 36
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
C:\WINDOWS\Epotia.exe (Trojan.FraudPack.Gen) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM\Application Data\7989D1D7188B9DBA92FC669BDC2DF128\gotnewupdate000.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM\Local Settings\Temp\Evl.exe (Trojan.FraudPack.Gen) -> No action taken.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a4b77e4e-7643-468d-9358-f5cfbd41bbf7} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a4b77e4e-7643-468d-9358-f5cfbd41bbf7} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a4b77e4e-7643-468d-9358-f5cfbd41bbf7} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\oberontb.band (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{ad76633e-e50d-4844-9e7f-4dfbc7c18467} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{daa37aad-f156-4c2c-ac48-3c22ef92ae2f} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cb0d163c-e9f4-4236-9496-0597e24b23a5} (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\oberontb.band.1 (Adware.Gamesbar) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Chifrax) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gotnewupdate000.exe (Malware.Packer.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsfg9w8gujsokgahi8gysgnsdgefshyjy (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ogxgqnzrfunk (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Epotia.exe (Trojan.FraudPack.Gen) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Application Data\7989D1D7188B9DBA92FC669BDC2DF128\gotnewupdate000.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.\Local Settings\Temp\Evl.exe (Trojan.FraudPack.Gen) -> No action taken.
C:\WINDOWS\system32\kelagcvs.dll (Adware.EZlife) -> No action taken.
C:\Program Files\GamesBar\oberontb.dll (Adware.Gamesbar) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\iluwax.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\msgpl_d231.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\wgvyd.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\Evk.exe (Trojan.FraudPack.Gen) -> No action taken.
C:\WINDOWS\gendel32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\setup.exe (Trojan.Chifrax) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\taskmgr.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\win16.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\winlogon.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Compaq_Propriétaire.NOM-\Local Settings\Temp\debug.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\astvenqyevugzv.dll (Trojan.Agent) -> No action taken.
A voir également:

19 réponses

Réponse 1 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
30 mai 2010 à 22:27
Salut al


J'aurais du lire Quarantined and deleted successfully et non No action taken, tu as bien cliquer sur Supprimer la sélection?


Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++ :)
0
Réponse 2 / 19
al
31 mai 2010 à 20:12
Bonsoir
Effectivement j'avais oublié de supprimer la sélection , c'est fait.

voici le 1 lien:
https://www.cjoint.com/?fFuh2GIfB4
et le 2:
https://www.cjoint.com/?fFukXqfxLP
bonne réception
0
Réponse 3 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
31 mai 2010 à 23:46
Salut al


Double clique sur le raccourci d'HijackThis sur ton Bureau, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files\trend micro\Compaq_Propriétaire.exe

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Street-Ads Browser Enhancer rzwvvgca - {813A3F57-C929-4216-B1BE-E6F728EC0AF1} - C:\WINDOWS\system32\rzwvvgca.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
O2 - BHO: voguecash browser enhancer - {D809C970-B7C2-7C30-0E46-381E08FF6599} - C:\WINDOWS\system32\astvenqyevugzv.dll (file missing)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
O4 - HKLM\..\Run: [skb] rundll32 "kelagcvs.dll",,Run
O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\qhnqaocu.exe


- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

- Quitte HijackThis


-----


Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

:files
C:\WINDOWS\system32\qhnqaocu.exe
C:\WINDOWS\lsrslt.ini
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Sky-Banners
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Street-Ads
C:\WINDOWS\system32\hvmahtfydybblib.exe
C:\Program Files\$NtUninstallWTF1012$
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\7989D1D7188B9DBA92FC669BDC2DF128
C:\Program Files\GamesBar
C:\Program Files\Everest Poker
C:\Documents and Settings\All Users\Application Data\GamesBar

:commands
[emptytemp]

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


@++ :)
0
Réponse 4 / 19
al
1 juin 2010 à 19:32
All processes killed
Error: Unable to interpret <C:\WINDOWS\system32\qhnqaocu.exe> in the current context!
Error: Unable to interpret <C:\WINDOWS\lsrslt.ini> in the current context!
Error: Unable to interpret <C:\Documents and Settings\Compaq_Propriétaire.\Application Data\Sky-Banners> in the current context!
Error: Unable to interpret <C:\Documents and Settings\Compaq_Propriétaire.\Application Data\Street-Ads> in the current context!
Error: Unable to interpret <C:\WINDOWS\system32\hvmahtfydybblib.exe> in the current context!
Error: Unable to interpret <C:\Program Files\$NtUninstallWTF1012$> in the current context!
Error: Unable to interpret <C:\Documents and Settings\Compaq_Propriétaire.N\Application Data\7989D1D7188B9DBA92FC669BDC2DF128> in the current context!
Error: Unable to interpret <C:\Program Files\GamesBar> in the current context!
Error: Unable to interpret <C:\Program Files\Everest Poker> in the current context!
Error: Unable to interpret <C:\Documents and Settings\All Users\Application Data\GamesBar> in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 150578 bytes

User: All Users

User: Compaq_Propriétaire.
->Temp folder emptied: 6615423971 bytes
->Temporary Internet Files folder emptied: 397355449 bytes
->Java cache emptied: 3907388 bytes
->FireFox cache emptied: 83467302 bytes
->Google Chrome cache emptied: 23394806 bytes
->Flash cache emptied: 183488 bytes

User: COMPAQ~1~NOM

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 115348 bytes
->Temporary Internet Files folder emptied: 5763925 bytes

User: Luna
->Temp folder emptied: 1001 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1304051 bytes
->Flash cache emptied: 405 bytes

%systemdrive% .tmp files removed: 440344 bytes
%systemroot% .tmp files removed: 10044642 bytes
%systemroot%\System32 .tmp files removed: 4939776 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19682562 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23968438 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 12544 bytes

Total Files Cleaned = 6 857,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06012010_191805

Files moved on Reboot...

Registry entries deleted on Reboot...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
al
1 juin 2010 à 19:32
Excusez moi,
J'ai même pas dit bonjour, !!!!!
0
Réponse 6 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
1 juin 2010 à 23:22
Salut al


Recommence la procédure avec OTM, tu as omis ceci --> :files

Mettre tout ceci qui est en gras :


:files
C:\WINDOWS\system32\qhnqaocu.exe
C:\WINDOWS\lsrslt.ini
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Sky-Banners
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Street-Ads
C:\WINDOWS\system32\hvmahtfydybblib.exe
C:\Program Files\$NtUninstallWTF1012$
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\7989D1D7188B9DBA92FC669BDC2DF128
C:\Program Files\GamesBar
C:\Program Files\Everest Poker
C:\Documents and Settings\All Users\Application Data\GamesBar

:commands
[emptytemp]


@++ :)
0
Réponse 7 / 19
al
2 juin 2010 à 17:52
All processes killed
========== FILES ==========
C:\WINDOWS\system32\qhnqaocu.exe moved successfully.
C:\WINDOWS\lsrslt.ini moved successfully.
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Sky-Banners\skb folder moved successfully.
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Sky-Banners folder moved successfully.
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Street-Ads\sta folder moved successfully.
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Street-Ads folder moved successfully.
C:\WINDOWS\system32\hvmahtfydybblib.exe moved successfully.
C:\Program Files\$NtUninstallWTF1012$ folder moved successfully.
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\7989D1D7188B9DBA92FC669BDC2DF128 folder moved successfully.
C:\Program Files\GamesBar folder moved successfully.
C:\Program Files\Everest Poker\var folder moved successfully.
C:\Program Files\Everest Poker\history folder moved successfully.
C:\Program Files\Everest Poker\data\wallet\fr folder moved successfully.
C:\Program Files\Everest Poker\data\wallet\ep folder moved successfully.
C:\Program Files\Everest Poker\data\wallet folder moved successfully.
C:\Program Files\Everest Poker\data\startup\shared\sounds folder moved successfully.
C:\Program Files\Everest Poker\data\startup\shared\icons folder moved successfully.
C:\Program Files\Everest Poker\data\startup\shared\bitmaps folder moved successfully.
C:\Program Files\Everest Poker\data\startup\shared folder moved successfully.
C:\Program Files\Everest Poker\data\startup\fr folder moved successfully.
C:\Program Files\Everest Poker\data\startup\en folder moved successfully.
C:\Program Files\Everest Poker\data\startup folder moved successfully.
C:\Program Files\Everest Poker\data\shared\shared\sounds folder moved successfully.
C:\Program Files\Everest Poker\data\shared\shared\bitmaps folder moved successfully.
C:\Program Files\Everest Poker\data\shared\shared folder moved successfully.
C:\Program Files\Everest Poker\data\shared\fr folder moved successfully.
C:\Program Files\Everest Poker\data\shared folder moved successfully.
C:\Program Files\Everest Poker\data\mp-poker\fr folder moved successfully.
C:\Program Files\Everest Poker\data\mp-poker\background folder moved successfully.
C:\Program Files\Everest Poker\data\mp-poker folder moved successfully.
C:\Program Files\Everest Poker\data\mp-lobby folder moved successfully.
C:\Program Files\Everest Poker\data\fonts folder moved successfully.
C:\Program Files\Everest Poker\data\cpanel folder moved successfully.
C:\Program Files\Everest Poker\data folder moved successfully.
C:\Program Files\Everest Poker folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\onload folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-04-16-00-47-06 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-04-16-00-37-16 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-04-16-00-17-09 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-04-14-16-50-46 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-04-10-11-34-11 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-03-13-21-28-30 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-03-13-21-28-12 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-02-21-15-51-27 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-02-19-20-04-51 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-02-16-18-12-14 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-02-12-21-40-34 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-02-12-21-40-27 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar\10-01-25-18-38-30 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\GamesBar folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Compaq_Propriétaire.
->Temp folder emptied: 48201180 bytes
->Temporary Internet Files folder emptied: 885218 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 84776215 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1059 bytes

User: COMPAQ~1~NOM

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Luna
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4024155 bytes
->Flash cache emptied: 1237 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 82368 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 518656 bytes

Total Files Cleaned = 132,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06022010_174332
All processes killed

OTM by OldTimer - Version 3.1.12.2 log created on 06022010_174307

Files moved on Reboot...
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\A5QX6DCH\yume_as2_list[1].swf moved successfully.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8NO1ON47\cotv_ss_little[1].swf moved successfully.

Registry entries deleted on Reboot...
0
Réponse 8 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
3 juin 2010 à 00:44
Salut al


Voilà qui est mieux, comment va le PC maintenant...


Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

Le rapport est dans le dossier ici C:\rsit


@++ :)
0
Réponse 9 / 19
al
3 juin 2010 à 20:28
Bonsoir ,
J'ai fait la démarche, l'ordi va beaucoup mieux, ( plus de fenêtres intempestives, et de trojan signalé.....)mais j'avoue que je m'en sers très peu à part pour régler ces problèmes de virus avec votre aide.( explications très claires et abordables pour moi.)
Voici le rapport
lhttps://www.cjoint.com/?gduxHRZx4C
Bonne réception
al
0
Réponse 10 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
4 juin 2010 à 01:26
Salut al


* Télécharge UsbFix (de El Desaparecido et C_XX) sur le bureau ici :

https://www.ionos.fr/?affiliate_id=77097

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Dans la nouvelle fenêtre, clique sur le bouton :

« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt


@++ :)
0
Réponse 11 / 19
al
4 juin 2010 à 22:26
Bonsoir, ci joint le rapport,
bonne réception
############################## | Usbfix 7.004 | [Recherche]

Utilisateur: Compaq_Propriétaire (Administrateur) # NOM-EB85C523610 [ ]
Mis à jour le 04/06/10 par El Desaparecido / C_XX
Lancé à 22:18:49 | 04/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 2.93GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 2.93GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]

RAM -> 959 Mo
C:\ (%systemdrive%) -> Disque fixe # 227 Go (78 Go libre(s) - 34%) [PRESARIO] # NTFS
D:\ -> Disque fixe # 6 Go (2 Go libre(s) - 39%) [PRESARIO_RP] # FAT32
E:\ -> CD-ROM
J:\ -> Disque fixe # 149 Go (100 Go libre(s) - 67%) [My Passport] # FAT32
K:\ -> Disque amovible # 962 Mo (925 Mo libre(s) - 96%) [] # FAT
L:\ -> Disque amovible # 2 Go (1 Go libre(s) - 75%) [] # FAT

################## | Éléments infectieux |

Présent! D:\Autorun.inf
Présent! J:\Autorun.inf
Présent! K:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-1092537557-1162734366-3939291342-1008
Présent! C:\Recycler\S-1-5-21-1092537557-1162734366-3939291342-1010
Présent! C:\Recycler\S-1-5-21-1645522239-764733703-725345543-1003
Présent! C:\Recycler\S-1-5-21-2230989309-2188097163-1001738496-1008
Présent! J:\a.doc
Présent! J:\winamp_cache_0001.xml
Présent! K:\system32

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\D
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\.\.\.\.\Explorer\MountPoints2\K
Shell\AutoRun\Command = K:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{a4b25415-42d2-11de-ac4d-00142ac1ef99}
Shell\AutoRun\Command = J:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{b8dd6bcf-14b7-11de-ab8b-00142ac1ef99}
Shell\AutoRun\Command = cmd /c start "" "RECYCL ER\kog.jpg" & exit
Shell\open\Command = cmd /c start "" "RECYCL ER\kog.jpg" & exit

HKCU\.\.\.\.\Explorer\MountPoints2\{c78f151d-13c7-11de-ab87-00142ac1ef99}
Shell\AutoRun\Command = J:\WDSetup.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 12 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
5 juin 2010 à 06:41
Salut al


/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Dans la nouvelle fenêtre, clique sur le bouton :

« Suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Redémarre le PC et poste le rapport qui apparaît à la fin, le rapport se trouve sur C:\ UsbFix.txt


-----


Mette MalwareByte's Anti-Malware à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec et choisis ta session habituelle.

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++ :)
0
Réponse 13 / 19
al
5 juin 2010 à 16:22
Salut,
Ci joint le lien pour le rapport de malware.
Je n'ai pas trouvé Usb.fix.txt, j'ai recommencé 3 fois mais il m'a dit mémoire virtuelle insuffisante.
https://www.cjoint.com/?gfqt5Scbh6
Bonne réception
al
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
5 juin 2010 à 17:22
bonjour, si on me permet une remarque ton rapport de malwarebytes il date un peu , c'est le même que celui te ton premier messages !!

30/05/2010 22:07:17


tu devrais ouvrir malwarebytes lui faire la mise à jour et refaire un examem complet de ton pc ,
en mode normal pas la peine en sans echec, il est plus performant en mode normal !!
tu supprimes bien la sélection et tu postes le rapport , merci pour dédétraqué que je salut au passage @+
0
Réponse 14 / 19
al
12 juin 2010 à 09:30
bonjour DD
Es tu malade?
a t-on fini de régler le problème?
merci de ta réponse
al
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
12 juin 2010 à 19:30
bonjour, il semblerait que DD ne soit pas dispo !! si tu veux et je pense pas que DD se vexera de mon aide , comme je te disais dans le message 15, malwarebytes est le même rapport que celui que tu as mis dans ton premier message , tu vas me refaire un examen complet de ton pc avec malwarebytes mais en mode normal car en mode sans echec il est moins performant !!

. double-cliques sur malwarebytes pour l'ouvrir
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log tu sélectionnes bien le dernier
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
Réponse 15 / 19
al
14 juin 2010 à 23:29
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4194

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14/06/2010 23:20:43
mbam-log-2010-06-14 (23-20-43).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 338202
Temps écoulé: 2 heure(s), 3 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.
HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Mes documents\Téléchargements\Everest Poker.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\_OTM\MovedFiles\06022010_174332\C_WINDOWS\system32\hvmahtfydybblib.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2230989309-2188097163-1001738496-1008\Dc16.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2230989309-2188097163-1001738496-1008\Dc17.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2230989309-2188097163-1001738496-1008\Dc18.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2230989309-2188097163-1001738496-1008\Dc19.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 juin 2010 à 23:38
comment va ton pc !!
0
Réponse 16 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
15 juin 2010 à 03:31
Salut vous deux


Non c'est mon PC qui étais malade, carte mère grillled :(((

Refais un scan avec RSIT et poste le contenu du rapport log.txt pour vérification.


@++ :)
0
Réponse 17 / 19
al
15 juin 2010 à 20:23
Bonsoir,
Voici le rapport
https://www.cjoint.com/?gpuvNxWnY5
bonne réception
0
Réponse 18 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
15 juin 2010 à 23:42
Salut al


Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fnpipe]

:files
C:\Program Files\Everest Poker
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Desktopicon

:commands
[emptytemp]

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


-----


On va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++ :)
0
Réponse 19 / 19
al
16 juin 2010 à 12:35
Bonjour,

ci joint premier rapport:

https://www.cjoint.com/?gqmHJ2twvR

je vais faire le scan.
A+
0

Discussions similaires

Antimalware service Executable consomme 45% de RAM.
KalenShiv -
KalenShiv -

8 réponses
Espacer les caractères / lettres avec Google Docs
Lr_lfpr -
Nemesia -

1 réponse
Comment faire un éspace insécable ? ?
Slanesh -
2011N2 -

6 réponses
Espace insécable
VTM -
telliak -

3 réponses
Google Docs guillemets français??
Gobe -
Yam -

17 réponses