Demande de lien : WinFileReplace de LoupBlanc

Résolu
Celtray -  
 joc57 -
Bonjour,

Mon fichier c:\windows\system32\userinit.exe est je pense infecté, j'ai lu par ci par là que je pouvais le réparer avec le logiciel "WinFileReplace" de LoupBlanc, mais malheureusement celui ci est introuvable. J'ai essayé de le télécharger mais les liens n'aboutissent à rien.

Ce serait donc assez sympa si quelqu'un pouvait m'indiquer où télécharger ce logiciel. :)
Merci d'avance.

26 réponses

  • 1
  • 2
Résumé de la discussion

Infection suspectée de l’exécutable système c:\windows\system32\userinit.exe et tentative de réparation via des outils supposément efficaces, avec des liens de téléchargement qui n’aboutissent pas.
Plusieurs réponses évoquent des diagnostics et nettoyages via ZHPDiag et ZHPFix, des rapports à générer et des suppressions de clés de registre ou de services jugés malveillants.
D’autres interventions mentionnent UnHackMe, Combofix, UsbFix et l’arrêt puis la suppression de logiciels de sécurité pour éviter les conflits, tandis que des guides pas-à-pas expliquent comment générer et partager les rapports.
En cas de recours répété à des utilitaires, le fil montre une démarche collaborative impliquant scans, quarantaines et nettoyages successifs, tout en soulignant la vérification de la persistance avant toute conclusion.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut,

    Qui te dis que ton fichier est patché? Tu as des symptômes?
    0
  2. Celtray
     
    Enfaite à chaque fois, au moment du lancement de Windows (quand je me connecte à ma session) Antivir me signal 4 ou 5 fois que j'ai un virus "C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll", le supprimer et le mettre en quarantaine n'a aucun effet, à chaque démarrage il est présent.

    Alors j'ai téléchargé un antirootkit du nom de UnHackMe qui m'a indiqué que userinit.exe était infecté. Il m'a proposé de l'éliminer, j'ai accepté (même si ensuite j'ai lu que c'était pas une bonne idée...) mais ça n'a eu aucun effet et à chaque scan il me signal qu'il est encore là.

    Donc je pense que userinit.exe est en relation avec mwkapm.dll...

    Autre chose, ça fait un moment que j'ai un autre virus qui parasite mes recherches google en me redirigeant vers des pages de téléchargement de trojans (camouflé en antimalware), j'ai réussi à m'en débarrasser avec Combofix mais il vient de faire un comeback (ce matin).

    J'ai alors encore pensé que tout était de la faute du userinit.exe infecté.

    Voila. :)
    0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok ! Merci pour toutes ces précisions. J'ai déjà une petite idée de la bestiole qui parasite ton PC mais je préfère être sûr :

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    0
  4. Celtray
     
    Merci énormément de ton aide au passage. :)

    Sinon j'en suis au point de "cliquer sur l'icône en forme de loup" et pendant le diagnostic un message d'erreur indique "Indice de liste hors limites (5)" ... c'est normal?

    EDIT : Enfaite à chaque fois que j'arrive à 20% il y a ce bug et ça n'avance plus...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Tu as windows XP / Vista / 7 ?

    Si tu as vista / 7 , lance le en tant qu'administrateur ( clic droit -> exécuter en tant qu'administrateur )
    0
  7. Celtray
     
    A vrai dire mon cher, j'ai Windows XP.
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Essaie en le désinstallant/réinstallant.

    Si vraiment ca ne fonctionne pas, fais ceci :

    -+-+-+-+-> RSIT <-+-+-+-+-

    [x] Télécharge RSIT ( de random/random ) sur ton bureau.

    [x] Lance le ( Utilisateurs de vista/seven -> Clic droit puis [Exécuter en tant qu'administrateur] )

    [x] Clique sur [Continue] à l'écran disclaimer. Hijackthis va être téléchargé et tu devras accepter la license.

    [x] Une fois l'analyse terminée, deux rapports s'ouvriront ( log.txt et info.txt ).

    [x] Rends toi sur cjoint.

    Note : Les deux fichiers sont sauvegardés dans le dossier C:\rsit.

    [x] Clique sur [Choisissez un fichier] et séléctionne le fichier log.txt.

    [x] Clique ensuite sur [Ouvrir] puis sur [Créer le lien cjoint].

    [x] Renouvelle l'opération mais cette fois ci avec le fichier info.txt.

    [x] Poste les deux liens cjoint créés dans ta prochaine réponse.

    Note : un tutoriel est disponible ici.
    0
  9. Celtray
     
    Oki, j'ai fais selon ton deuxième tuto, vu que ZH(je ne sais quoi) n'a pas marché. :/

    Premier lien :
    http://cjoint.com/data/hcsnEDMdl8.htm

    Deuxième lien :
    http://cjoint.com/data/hcsn7lhrlX.htm
    0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    -+-+-+-+-> USBFix <-+-+-+-+-

    Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici.

    [x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.

    [x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.

    [x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.

    [x] Exécute USBfix sur ton bureau puis clique sur " Suppression ".

    [x] Patiente pendant le scan. Un rapport s'ouvrira, copie/colle son contenu dans ton prohain message.

    Notes : Le rapport est également sauvegardé à la racine du disque dur ( généralement C:\ )

    Un tutoriel en images est disponible ici.

    -+-+-+-+-> AD-Remover <-+-+-+-+-

    [x] Télécharge AD-Remover ( de C_XX ).

    [x] Lance AD-Remover puis choisis l'option " Nettoyer ".

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
    0
  11. Celtray
     
    ############################## | UsbFix 7.015 | [Recherche]

    Utilisateur: khal (Administrateur) # USER-B4205F75DF [ ]
    Mis à jour le 01/07/10 par El Desaparecido / C_XX
    Lancé à 19:05:41 | 02/07/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
    CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Désactivé /!\
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    Firewall: ZoneAlarm Firewall 7.0.483.000 [Enabled]
    RAM -> 2046 Mo
    C:\ (%systemdrive%) -> Disque fixe # 78 Go (17 Go libre(s) - 22%) [Windows] # NTFS
    D:\ -> Disque amovible # 4 Go (1 Go libre(s) - 36%) [Skeith] # FAT32
    E:\ -> Disque fixe # 200 Go (4 Go libre(s) - 2%) [Documents] # NTFS
    F:\ -> CD-ROM

    ################## | Éléments infectieux |

    Présent! C:\WINDOWS\explorer.exe:userini.exe

    ################## | Registre |

    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|FrameWorkService
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FrameWorkService

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 23/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:14:53 le 02/07/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    khal@USER-B4205F75DF ( )

    ============== ACTION(S) ==============

    Service: "ASKService" Stoppé et supprimé
    Service: "ASKUpgrade" Stoppé et supprimé

    0,Dossier supprimé: C:\Documents and Settings\khal\Application Data\Mozilla\FireFox\Profiles\snmiifgs.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
    0,Dossier supprimé: C:\Program Files\AskBarDis

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
    0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
    0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
    0,Clé supprimée: HKLM\Software\AskBarDis
    0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
    0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.6 (fr)] **

    -- C:\Documents and Settings\khal\Application Data\Mozilla\FireFox\Profiles\snmiifgs.default\Prefs.js --
    browser.download.lastDir, E:\\A emporter\\MES DOCUMENTS
    browser.startup.homepage, google.fr
    browser.startup.homepage_override.mstone, rv:1.9.2.6

    -- C:\Documents and Settings\Invité\Application Data\Mozilla\FireFox\Profiles\ip428ky3.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Invité\\Bureau
    browser.startup.homepage_override.mstone, rv:1.9.2.3

    ========================================

    ** Internet Explorer Version [7.0.5730.13] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 42 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 02/07/2010 (3362 Octet(s))

    Fin à: 19:30:53, 02/07/2010

    ============== E.O.F ==============

    Voila! :)
    Hmmm... sinon au cas ou ça pourrait être utile, j'ai redémarré comme conseillé après le nettoyage et le virus qu'Avira me supprime à chaque fois est toujours présent (C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll).
    0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Tu as lancé USBFix option recherche et non suppression comme je te l'avais demandé.
    0
  13. Celtray
     
    Ah oui excuses moi, voila le bon (si je n'ai pas fais de conneries cette fois).

    ############################## | UsbFix 7.015 | [Suppression]

    Utilisateur: khal (Administrateur) # USER-B4205F75DF [ ]
    Mis à jour le 01/07/10 par El Desaparecido / C_XX
    Lancé à 20:33:51 | 02/07/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
    CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Désactivé /!\
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    Firewall: ZoneAlarm Firewall 7.0.483.000 [Enabled]
    RAM -> 2046 Mo
    C:\ (%systemdrive%) -> Disque fixe # 78 Go (17 Go libre(s) - 22%) [Windows] # NTFS
    D:\ -> Disque amovible # 4 Go (1 Go libre(s) - 36%) [Skeith] # FAT32
    E:\ -> Disque fixe # 200 Go (4 Go libre(s) - 2%) [Documents] # NTFS
    F:\ -> CD-ROM

    ################## | Éléments infectieux |

    Non supprimé ! C:\WINDOWS\explorer.exe:userini.exe

    ################## | Registre |

    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|FrameWorkService
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FrameWorkService

    ################## | Mountpoints2 |

    ################## | Listing |

    [02/07/2010 - 19:47:17 | A | 1735] C:\aaw7boot.log
    [02/07/2010 - 19:30:53 | A | 5174] C:\Ad-Report-CLEAN[1].txt
    [09/08/2009 - 14:30:49 | D ] C:\ATI
    [17/12/2008 - 15:07:27 | A | 0] C:\AUTOEXEC.BAT
    [02/07/2010 - 14:07:50 | RSHD ] C:\autorun.inf
    [14/03/2010 - 20:28:10 | D ] C:\AV_LOGS
    [17/12/2008 - 19:23:24 | D ] C:\Bigfish Games - Runic + Crack
    [28/12/2008 - 18:49:06 | A | 216] C:\Boot.bak
    [24/06/2010 - 02:26:05 | RASH | 286] C:\boot.ini
    [24/08/2001 - 13:00:00 | RASH | 4952] C:\Bootfont.bin
    [17/12/2008 - 19:29:25 | D ] C:\Bureau contenu
    [24/06/2010 - 02:26:05 | RASHD ] C:\cmdcons
    [03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
    [10/08/2009 - 15:10:46 | A | 74] C:\CMLoader.log
    [02/07/2010 - 14:07:50 | RSHD ] C:\comment.htt
    [02/07/2010 - 17:03:35 | HD ] C:\Config.Msi
    [17/12/2008 - 15:07:27 | A | 0] C:\CONFIG.SYS
    [02/07/2010 - 14:07:50 | RSHD ] C:\desktop.ini
    [31/01/2009 - 10:45:16 | D ] C:\Documents and Settings
    [27/09/2009 - 13:55:09 | D ] C:\DOTT.CD
    [02/07/2010 - 14:03:30 | D ] C:\downloads
    [16/01/2010 - 22:34:47 | D ] C:\Hotspot Shield
    [19/10/2009 - 13:47:47 | D ] C:\Intel
    [17/12/2008 - 15:07:27 | RASH | 0] C:\IO.SYS
    [17/12/2008 - 18:36:51 | D ] C:\Mes Sites Web
    [17/12/2008 - 15:07:27 | RASH | 0] C:\MSDOS.SYS
    [26/12/2008 - 09:34:48 | RHD ] C:\MSOCache
    [13/04/2008 - 08:43:04 | RASH | 47564] C:\NTDETECT.COM
    [13/04/2008 - 10:31:52 | RASH | 252240] C:\ntldr
    [02/07/2010 - 19:47:23 | ASH | 1610612736] C:\pagefile.sys
    [02/07/2010 - 19:18:08 | RD ] C:\Program Files
    [02/07/2010 - 20:39:29 | SHD ] C:\RECYCLER
    [02/07/2010 - 17:10:42 | D ] C:\rsit
    [24/06/2010 - 11:19:53 | SHD ] C:\System Volume Information
    [19/01/2009 - 12:38:07 | D ] C:\TEMP
    [29/09/2009 - 17:47:10 | D ] C:\UbiSoft
    [02/07/2010 - 20:39:29 | D ] C:\UsbFix
    [02/07/2010 - 20:39:33 | A | 1541] C:\UsbFix.txt
    [15/03/2010 - 00:36:37 | D ] C:\vcs5BGEffects
    [02/07/2010 - 18:57:33 | D ] C:\WINDOWS
    [22/06/2010 - 18:53:00 | D ] E:\A emporter
    [09/12/2009 - 16:48:29 | D ] E:\A-11
    [13/06/2006 - 02:06:58 | A | 67508] E:\APHORISMES.pdf
    [02/07/2010 - 14:07:50 | RSHD ] E:\autorun.inf
    [08/03/2010 - 10:27:37 | D ] E:\BACKUP REGISTRY ERRORS
    [17/12/2008 - 18:32:35 | D ] E:\Bureau
    [15/01/2010 - 17:55:25 | D ] E:\buro ubuntu
    [10/01/2010 - 16:52:43 | A | 139415] E:\canonlameuf.jpg
    [02/07/2010 - 14:07:50 | RSHD ] E:\comment.htt
    [28/03/2010 - 15:27:36 | D ] E:\DCIM
    [02/07/2010 - 14:07:50 | RSHD ] E:\desktop.ini
    [17/12/2008 - 18:32:52 | D ] E:\DM Genie
    [17/12/2008 - 17:48:35 | D ] E:\dragon
    [19/08/2009 - 13:58:29 | D ] E:\drivers setup
    [17/12/2008 - 17:54:45 | D ] E:\Dungeons and Dragons
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.1028.txt
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.1031.txt
    [07/11/2007 - 08:00:40 | A | 10134] E:\eula.1033.txt
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.1036.txt
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.1040.txt
    [07/11/2007 - 08:00:40 | A | 118] E:\eula.1041.txt
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.1042.txt
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.2052.txt
    [07/11/2007 - 08:00:40 | A | 17734] E:\eula.3082.txt
    [22/08/2009 - 18:43:55 | D ] E:\fc8aad314d336b5cc8fbcea713
    [17/12/2008 - 17:55:01 | D ] E:\FTP
    [22/01/2010 - 21:58:47 | D ] E:\ftp httpdocs
    [07/11/2007 - 08:00:40 | A | 1110] E:\globdata.ini
    [17/12/2008 - 17:58:58 | D ] E:\Incoming
    [07/11/2007 - 08:03:18 | A | 562688] E:\install.exe
    [07/11/2007 - 08:00:40 | A | 843] E:\install.ini
    [07/11/2007 - 08:03:18 | A | 76304] E:\install.res.1028.dll
    [07/11/2007 - 08:03:18 | A | 96272] E:\install.res.1031.dll
    [07/11/2007 - 08:03:18 | A | 91152] E:\install.res.1033.dll
    [07/11/2007 - 08:03:18 | A | 97296] E:\install.res.1036.dll
    [07/11/2007 - 08:03:18 | A | 95248] E:\install.res.1040.dll
    [07/11/2007 - 08:03:18 | A | 81424] E:\install.res.1041.dll
    [07/11/2007 - 08:03:18 | A | 79888] E:\install.res.1042.dll
    [07/11/2007 - 08:03:18 | A | 75792] E:\install.res.2052.dll
    [07/11/2007 - 08:03:18 | A | 96272] E:\install.res.3082.dll
    [17/12/2008 - 17:59:56 | D ] E:\Japan
    [17/12/2008 - 18:07:17 | D ] E:\jdr
    [17/12/2008 - 18:07:52 | D ] E:\Joost
    [17/12/2008 - 18:07:56 | D ] E:\kab
    [17/12/2008 - 18:08:01 | D ] E:\Kabil
    [17/12/2008 - 18:08:06 | D ] E:\Livechaude
    [19/08/2009 - 12:42:58 | RD ] E:\Mes documents
    [09/02/2010 - 16:21:17 | D ] E:\MMORPG
    [17/12/2008 - 18:08:27 | RD ] E:\My Pictures
    [29/12/2009 - 14:52:41 | D ] E:\Nero 7 Lite 7.7.5.1
    [17/12/2008 - 18:08:48 | D ] E:\photos
    [02/05/2010 - 14:57:35 | D ] E:\Program Files
    [02/07/2010 - 20:39:29 | SHD ] E:\RECYCLER
    [17/12/2008 - 18:11:54 | D ] E:\Reflets d'Acide
    [17/12/2008 - 18:11:56 | D ] E:\réponses nom
    [09/02/2009 - 19:13:26 | D ] E:\Sierra
    [17/12/2008 - 18:25:39 | D ] E:\stepmania
    [24/06/2010 - 11:19:54 | SHD ] E:\System Volume Information
    [21/06/2010 - 02:39:47 | D ] E:\série
    [27/12/2008 - 21:54:53 | D ] E:\TEMP
    [07/11/2007 - 08:00:40 | A | 5686] E:\vcredist.bmp
    [07/11/2007 - 08:09:22 | A | 1442522] E:\VC_RED.cab
    [07/11/2007 - 08:12:28 | A | 232960] E:\VC_RED.MSI
    [17/12/2008 - 18:25:41 | D ] E:\WOT
    [13/02/2010 - 16:08:49 | R | 921028608] F:\Language] (2).ISO
    [12/02/2010 - 23:47:39 | R | 33231] F:\Language] .ISO

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_USER-B4205F75DF.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |
    0
  14. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    C'est le bon.

    Désinstalle combofix :

    Clique sur démarrer -> exécuter puis tapes " combofix /uninstall " ( sans les guillemets ) puis valide en cliquant sur [Ok]

    Puis fais ceci :

    -+-+-+-+-> ComboFix <-+-+-+-

    [x] Télécharge ComboFix ( de sUBs ) à cette adresse.

    [x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

    [x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

    [x] Double clique sur " Combofix.exe "

    [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

    [x] Pendant le scan, ne touche à rien ( souris, clavier )

    [x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

    Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
    0
  15. Celtray
     
    Re, quand je suis revenu sur mon PC j'ai trouvé un écran bleu de bug, j'ai du redémarrer manuellement avec le bouton.

    D'ailleurs ça m'avait fait la même chose à ma dernière utilisation de combofix.

    Et je ne trouve pas de log en .txt mais un dossier étrange nommé Combofix avec en icone un écran (comme celui du poste de travail) et quand je clic dessus ça me dirige sur le poste de travail.

    EDIT : Ah oui, quand j'ai lancé Combofix celui ci m'a signalé un truc du genre "Parasite trouvé : mwkapm.dll a tenté de se lier à Combofix".
    Un rapport?
    0
    1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Désinstalle combofix comme expliqué en haut.

      Retélécharge le mais cette fois renomme le en CCM.exe avant le téléchargement ( dans la partie " nom du fichier " )
      0
    2. Celtray
       
      Toujours pareil. :s
      0
    3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Hmm.. première fois que je vois ce type de message avec combofix :)

      Essaie de faire un ZHPDiag comme indiqué plus haut, et fais ceci :

      -+-+-+-+-> SEAF <-+-+-+-+-


      [x] Télécharge SEAF ( de C_XX ) sur ton bureau.

      [x] Lance le puis dans la partie " Entrez ci dessous[...] " copie/colle ceci :

      mwkapm.dll
      


      [x] Coche " Afficher les ADS " ainsi que " Chercher également dans le registre ".

      [x] A droite de " Calculer le checksum " , sélectionne " MD5 ".

      [x] Clique maintenant sur " Lancer la recherche " puis poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
      0
    4. Celtray
       
      Youhou, je pensais innover dans la poisse mais finalement ZHPDiag a marché.
      Voici donc le cjoint : http://cjoint.com/data/hdoHeJIOoA.htm

      Maintenant je vais suivre les indications pour SEAF.
      0
  16. Celtray
     
    Durant le scan de SEAF, Avira a détecté le virus mwkapm.dll.vir et j'ai fais supprimer... était-ce la bonne chose à faire ou devrais-je refaire un scan?

    En tout cas voila le rapport en l'état... j'espère ne pas avoir fait de conneries. :p

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 13:36:02 le 03/07/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. mwkapm.dll
    8.
    9. (!) --- Calcul du Hash "MD5"
    10. (!) --- Affichage des ADS
    11. (!) --- Recherche registre
    12.
    13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    14.
    15. "c:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll.vir" [ ----A---- | 3072 ]
    16. TC: 13/04/2008,18:33:50 | TM: 13/04/2008,18:33:50 | DA: 02/07/2010,23:51:22
    17. MD5: DENIED
    18.
    19. /!\ ADS: Le fichier spécifié est introuvable. , Byte(s)
    20.
    21. =========================
    22.
    23. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    24.
    25. Aucun dossier trouvé
    26.
    27.
    28. ====== Entrée(s) du registre ======
    29.
    30.
    31.
    32. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
    33. "AppSecDll"="C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll"
    34.
    35. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls]
    36. "AppSecDll"="C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll"
    37.
    38. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]
    39. "AppSecDll"="C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll"
    40.
    41. =========================
    42.
    43. Fin à: 13:41:05 le 03/07/2010 ( E.O.F )
    0
  17. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    C'est la bonne chose ;)

    Essaie maintenant de relancer combofix.
    0
    1. Celtray
       
      J'ai redémarré l'ordi pour voir si au démarrage il détéctait encore mwkapm.dll, eh bien nan, on dirait qu'il est enfin mort. :D

      Merci! Je vais relancer combofix alors.
      0
    2. Celtray
       
      Tristement l'écran bleu a encore fait son apparition. :(

      J'ai remarqué qu'il apparait à la fin des étapes de Combofix, au moment de la "Suppression des Fichiers".
      0
  18. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, laisse tomber combofix. Fais ceci à la place :

    -+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-

    [x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

    [x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

    [x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

    [x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

    [x] Sélectionne tout tes disques locaux et amovibles

    [x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

    [x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

    [x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    [x] Tu peux ensuite vider la quarantaine de MBAM.

    [x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

    [x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
    0
    1. Celtray
       
      Ah j'ai déjà fait ça, enfaite nan... quand j'ai posté ici j'ai annulé le scan c'était trop long. :p

      Bon je lance alors.
      0
  19. Celtray
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4266

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    03/07/2010 19:44:32
    mbam-log-2010-07-03 (19-44-32).txt

    Type d'examen: Examen complet (C:\|E:\|)
    Elément(s) analysé(s): 308306
    Temps écoulé: 1 heure(s), 41 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\khal\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_00043f (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  20. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, ca m'a l'air pas mal :)

    Refais USBFix option " Recherche " uniquement
    Puis un nouveau ZHPDiag pour faire le point
    0
    1. Celtray
       
      Oki. ^^
      En tout cas merci beaucoup de ton aide, c'est vraiment très sympa de prendre de ton temps pour aider. Merci. =)
      0
  21. Celtray
     
    ############################## | UsbFix 7.015 | [Recherche]

    Utilisateur: khal (Administrateur) # USER-B4205F75DF [ ]
    Mis à jour le 01/07/10 par El Desaparecido / C_XX
    Lancé à 21:44:59 | 03/07/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
    CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Désactivé /!\
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    Firewall: ZoneAlarm Firewall 7.0.483.000 [Enabled]
    RAM -> 2046 Mo
    C:\ (%systemdrive%) -> Disque fixe # 78 Go (17 Go libre(s) - 21%) [Windows] # NTFS
    E:\ -> Disque fixe # 200 Go (4 Go libre(s) - 2%) [Documents] # NTFS
    F:\ -> CD-ROM

    ################## | Éléments infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |

    http://cjoint.com/data/heasiHehQP.htm

    Voila chose faite. :D
    0
  • 1
  • 2