PC infecté
Résolu
babdou
-
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai un pc ou il m'est impossible d'installer les antivirus (je dispose de Fsecure), ni d'executer certains fichiers.exe, ni d'ouvrir ccleaner qui semble t'il se désinstalle apres un moment, et encore moins de demarrer en mode sans echec.
Merci de votre aide.
J'ai un pc ou il m'est impossible d'installer les antivirus (je dispose de Fsecure), ni d'executer certains fichiers.exe, ni d'ouvrir ccleaner qui semble t'il se désinstalle apres un moment, et encore moins de demarrer en mode sans echec.
Merci de votre aide.
A voir également:
- PC infecté
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
57 réponses
je t'ai répondu ici
https://forums.commentcamarche.net/forum/affich-18862000-pc-infecte#13
à faire d'un autre pc
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
https://forums.commentcamarche.net/forum/affich-18862000-pc-infecte#13
à faire d'un autre pc
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Pour information j'ai trouvé que le fichier telechargé hier Dr web, a disparu de mon pc. de meme ccleaner icone mais plus d'exe
j'ai lancé le telchargement sur un autre pc ca marhce
je me demande s'il est possible de booter à partir d'une clé usb, si oui comment installer ce fichier dessus
Merci encore
je me demande s'il est possible de booter à partir d'une clé usb, si oui comment installer ce fichier dessus
Merci encore
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai booté avec dr web en mode default
Merci de m'assister pour la suite; l'interface est en anglais
Merci de m'assister pour la suite; l'interface est en anglais
oh oui
et tu es tres tres infectée
j'espère pour toi qu'il pourra y arriver....mais ce n'est pas gagné
et tu es tres tres infectée
j'espère pour toi qu'il pourra y arriver....mais ce n'est pas gagné
Scan terminé plusieurs infections trouvées, j'ai appuyé sur netoyer et tout a été supprimé, mais impossible de trouver et enregistrer le rapport?
Pc démarré , j'attends vos suggestions
Merci encore
Pc démarré , j'attends vos suggestions
Merci encore
Ci joint le rapport de diagnostic
http://www.cijoint.fr/cjlink.php?file=cj201008/cij3p8zKFt.txt
Encore merci de vote temps et patience.
http://www.cijoint.fr/cjlink.php?file=cj201008/cij3p8zKFt.txt
Encore merci de vote temps et patience.
cool
ca semble avoir fonctionné...tu t'en sors bien
* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winbmsi.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winbmsi.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winubwuob.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winubwuob.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvxeqyu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winvxeqyu.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\tqvewh.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\tqvewh.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wb1b14.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wb1b14.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvucjb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winvucjb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winxejq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winxejq.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winoctua.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winoctua.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winomhsp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winomhsp.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winekij.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winekij.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\pvsqij.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\pvsqij.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\geci.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\geci.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wa106a.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wa106a.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winsvjhrs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winsvjhrs.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmekb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winmekb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrqsnb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winrqsnb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winelbply.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winelbply.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wsybt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wsybt.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmpiht.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winmpiht.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winhnoeow.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winhnoeow.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winiwex.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winiwex.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\nlowil.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\nlowil.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrevmb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winrevmb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\xmbww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\xmbww.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w9b74e.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\w9b74e.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winjqckl.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winjqckl.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winauwgmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winauwgmq.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winfksl.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winfksl.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w3f9056.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\w3f9056.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winwyghe.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winwyghe.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winnhau.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winnhau.exe
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
ca semble avoir fonctionné...tu t'en sors bien
* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winbmsi.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winbmsi.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winubwuob.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winubwuob.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvxeqyu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winvxeqyu.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\tqvewh.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\tqvewh.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wb1b14.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wb1b14.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvucjb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winvucjb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winxejq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winxejq.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winoctua.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winoctua.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winomhsp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winomhsp.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winekij.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winekij.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\pvsqij.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\pvsqij.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\geci.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\geci.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wa106a.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wa106a.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winsvjhrs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winsvjhrs.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmekb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winmekb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrqsnb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winrqsnb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winelbply.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winelbply.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wsybt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wsybt.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmpiht.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winmpiht.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winhnoeow.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winhnoeow.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winiwex.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winiwex.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\nlowil.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\nlowil.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrevmb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winrevmb.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\xmbww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\xmbww.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w9b74e.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\w9b74e.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winjqckl.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winjqckl.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winauwgmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winauwgmq.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winfksl.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winfksl.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w3f9056.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\w3f9056.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winwyghe.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winwyghe.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winnhau.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winnhau.exe
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
en complément de ci dessus
1)
Téléchargez USBFIX de El Desaparecido, C_xx
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
? Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
? Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
............................
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
1)
Téléchargez USBFIX de El Desaparecido, C_xx
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
? Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
? Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
............................
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-23-21-45.txt
Run by Marie Zim at 17/08/2010 23:21:45
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winbmsi.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winbmsi.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winubwuob.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winubwuob.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvxeqyu.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winvxeqyu.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\tqvewh.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\tqvewh.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wb1b14.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\wb1b14.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvucjb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winvucjb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winxejq.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winxejq.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winoctua.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winoctua.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winomhsp.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winomhsp.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winekij.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winekij.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\pvsqij.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\pvsqij.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\geci.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\geci.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wa106a.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\wa106a.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winsvjhrs.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winsvjhrs.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmekb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winmekb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrqsnb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winrqsnb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winelbply.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winelbply.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wsybt.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\wsybt.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmpiht.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winmpiht.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winhnoeow.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winhnoeow.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winiwex.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winiwex.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\nlowil.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\nlowil.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrevmb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winrevmb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\xmbww.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\xmbww.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w9b74e.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\w9b74e.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winjqckl.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winjqckl.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winauwgmq.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winauwgmq.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winfksl.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winfksl.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w3f9056.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\w3f9056.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winwyghe.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winwyghe.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winnhau.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winnhau.exe => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
31 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-23-21-45.txt
Run by Marie Zim at 17/08/2010 23:21:45
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winbmsi.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winbmsi.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winubwuob.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winubwuob.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvxeqyu.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winvxeqyu.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\tqvewh.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\tqvewh.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wb1b14.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\wb1b14.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winvucjb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winvucjb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winxejq.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winxejq.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winoctua.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winoctua.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winomhsp.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winomhsp.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winekij.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winekij.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\pvsqij.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\pvsqij.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\geci.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\geci.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wa106a.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\wa106a.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winsvjhrs.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winsvjhrs.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmekb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winmekb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrqsnb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winrqsnb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winelbply.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winelbply.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wsybt.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\wsybt.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmpiht.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winmpiht.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winhnoeow.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winhnoeow.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winiwex.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winiwex.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\nlowil.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\nlowil.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winrevmb.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winrevmb.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\xmbww.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\xmbww.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w9b74e.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\w9b74e.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winjqckl.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winjqckl.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winauwgmq.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winauwgmq.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winfksl.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winfksl.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\w3f9056.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\w3f9056.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winwyghe.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winwyghe.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winnhau.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\TEMP\winnhau.exe => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
31 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre
End of the scan
Ci joint rapport usb fix
############################## | UsbFix 7.020 | [Suppression]
Utilisateur: Marie Zim (Administrateur) # ACER-CAB9EEA47C [ ]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 23:27:18 | 17/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Antivirus: Bitdefender Antivirus 8.0 [Enabled | Updated]
Firewall: Bitdefender Firewall 8.0 [Enabled]
RAM -> 1014 Mo
C:\ (%systemdrive%) -> Disque fixe # 44 Go (32 Go libre(s) - 72%) [ACER] # FAT32
D:\ -> Disque fixe # 45 Go (44 Go libre(s) - 98%) [ACERDATA] # NTFS
E:\ -> CD-ROM
################## | Éléments infectieux |
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
################## | Listing |
[14/12/2005 - 05:39:18 | D ] C:\i386
[05/08/2004 - 05:00:00 | D ] C:\VALUEADD
[17/08/2010 - 22:02:02 | D ] C:\dotnetfx
[14/07/2010 - 20:52:28 | AD ] C:\Autorun.inf
[17/08/2010 - 00:30:28 | A | 376] C:\rkill.log
[17/08/2010 - 22:02:02 | D ] C:\test
[14/12/2005 - 05:39:24 | D ] C:\Book
[14/12/2005 - 05:39:24 | D ] C:\Sysinfo
[14/12/2005 - 05:39:20 | D ] C:\WINDOWS
[06/01/2006 - 06:25:12 | D ] C:\Documents and Settings
[06/01/2006 - 06:30:30 | D ] C:\Program Files
[05/08/2004 - 05:00:00 | RASH | 4952] C:\Bootfont.bin
[13/07/2010 - 19:12:12 | RASH | 252240] C:\ntldr
[05/08/2004 - 05:00:00 | RASH | 47564] C:\NTDETECT.COM
[16/08/2010 - 15:15:38 | RASH | 286] C:\boot.ini
[06/01/2006 - 06:31:26 | A | 0] C:\CONFIG.SYS
[06/01/2006 - 06:58:40 | A | 50] C:\AUTOEXEC.BAT
[06/01/2006 - 06:31:26 | RASH | 0] C:\IO.SYS
[06/01/2006 - 06:31:26 | RASH | 0] C:\MSDOS.SYS
[06/01/2006 - 17:26:12 | RASH | 75] C:\Preload.aaa
[17/08/2010 - 22:11:02 | ASH | 1598029824] C:\pagefile.sys
[16/08/2010 - 22:14:16 | A | 12897] C:\ComboFix.txt
[17/08/2010 - 22:11:02 | ASH | 1063374848] C:\hiberfil.sys
[16/08/2010 - 22:22:08 | SHD ] C:\Recycled
[08/08/2006 - 01:18:22 | SHD ] C:\System Volume Information
[14/07/2010 - 16:02:54 | D ] C:\Qoobox
[17/08/2010 - 16:53:26 | A | 524288000] C:\REMOVE_THIS_FILE.livecd.swap
[17/08/2010 - 23:26:40 | D ] C:\UsbFix
[17/08/2010 - 23:27:20 | A | 838] C:\UsbFix.txt
[17/08/2010 - 22:02:02 | RASHD ] C:\cmdcons
[08/08/2006 - 01:21:12 | D ] C:\Acer
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[16/07/2010 - 01:54:30 | A | 216] C:\Boot.bak
[17/08/2010 - 23:21:46 | A | 168534] C:\ZHPExportRegistry-17-08-2010-23-21-45.txt
[24/02/2008 - 16:59:46 | D ] C:\DivX Movies
[23/03/2008 - 13:10:02 | D ] C:\infw9899
[18/08/2010 - 00:02:04 | D ] D:\83faad75da0c18c319290760
[14/07/2010 - 20:52:26 | AD ] D:\Autorun.inf
[05/11/2008 - 13:43:40 | D ] D:\music
[17/08/2010 - 23:28:10 | SHD ] D:\RECYCLER
[29/10/2008 - 16:35:34 | SHD ] D:\System Volume Information
[17/08/2010 - 01:01:41 | RD ] E:\boot
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | E.O.F |
############################## | UsbFix 7.020 | [Suppression]
Utilisateur: Marie Zim (Administrateur) # ACER-CAB9EEA47C [ ]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 23:27:18 | 17/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Antivirus: Bitdefender Antivirus 8.0 [Enabled | Updated]
Firewall: Bitdefender Firewall 8.0 [Enabled]
RAM -> 1014 Mo
C:\ (%systemdrive%) -> Disque fixe # 44 Go (32 Go libre(s) - 72%) [ACER] # FAT32
D:\ -> Disque fixe # 45 Go (44 Go libre(s) - 98%) [ACERDATA] # NTFS
E:\ -> CD-ROM
################## | Éléments infectieux |
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
################## | Listing |
[14/12/2005 - 05:39:18 | D ] C:\i386
[05/08/2004 - 05:00:00 | D ] C:\VALUEADD
[17/08/2010 - 22:02:02 | D ] C:\dotnetfx
[14/07/2010 - 20:52:28 | AD ] C:\Autorun.inf
[17/08/2010 - 00:30:28 | A | 376] C:\rkill.log
[17/08/2010 - 22:02:02 | D ] C:\test
[14/12/2005 - 05:39:24 | D ] C:\Book
[14/12/2005 - 05:39:24 | D ] C:\Sysinfo
[14/12/2005 - 05:39:20 | D ] C:\WINDOWS
[06/01/2006 - 06:25:12 | D ] C:\Documents and Settings
[06/01/2006 - 06:30:30 | D ] C:\Program Files
[05/08/2004 - 05:00:00 | RASH | 4952] C:\Bootfont.bin
[13/07/2010 - 19:12:12 | RASH | 252240] C:\ntldr
[05/08/2004 - 05:00:00 | RASH | 47564] C:\NTDETECT.COM
[16/08/2010 - 15:15:38 | RASH | 286] C:\boot.ini
[06/01/2006 - 06:31:26 | A | 0] C:\CONFIG.SYS
[06/01/2006 - 06:58:40 | A | 50] C:\AUTOEXEC.BAT
[06/01/2006 - 06:31:26 | RASH | 0] C:\IO.SYS
[06/01/2006 - 06:31:26 | RASH | 0] C:\MSDOS.SYS
[06/01/2006 - 17:26:12 | RASH | 75] C:\Preload.aaa
[17/08/2010 - 22:11:02 | ASH | 1598029824] C:\pagefile.sys
[16/08/2010 - 22:14:16 | A | 12897] C:\ComboFix.txt
[17/08/2010 - 22:11:02 | ASH | 1063374848] C:\hiberfil.sys
[16/08/2010 - 22:22:08 | SHD ] C:\Recycled
[08/08/2006 - 01:18:22 | SHD ] C:\System Volume Information
[14/07/2010 - 16:02:54 | D ] C:\Qoobox
[17/08/2010 - 16:53:26 | A | 524288000] C:\REMOVE_THIS_FILE.livecd.swap
[17/08/2010 - 23:26:40 | D ] C:\UsbFix
[17/08/2010 - 23:27:20 | A | 838] C:\UsbFix.txt
[17/08/2010 - 22:02:02 | RASHD ] C:\cmdcons
[08/08/2006 - 01:21:12 | D ] C:\Acer
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[16/07/2010 - 01:54:30 | A | 216] C:\Boot.bak
[17/08/2010 - 23:21:46 | A | 168534] C:\ZHPExportRegistry-17-08-2010-23-21-45.txt
[24/02/2008 - 16:59:46 | D ] C:\DivX Movies
[23/03/2008 - 13:10:02 | D ] C:\infw9899
[18/08/2010 - 00:02:04 | D ] D:\83faad75da0c18c319290760
[14/07/2010 - 20:52:26 | AD ] D:\Autorun.inf
[05/11/2008 - 13:43:40 | D ] D:\music
[17/08/2010 - 23:28:10 | SHD ] D:\RECYCLER
[29/10/2008 - 16:35:34 | SHD ] D:\System Volume Information
[17/08/2010 - 01:01:41 | RD ] E:\boot
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | E.O.F |
Ci joint le rapport de MBAM, et merci de votre disponobilité; et suis dans l'attente de toute éventuelle action
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4442
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
17/08/2010 23:53:24
mbam-log-2010-08-17 (23-53-24).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 161239
Temps écoulé: 14 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4442
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
17/08/2010 23:53:24
mbam-log-2010-08-17 (23-53-24).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 161239
Temps écoulé: 14 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Un deuxieme examen MBAM et ca donne 5 infections ci joint rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4442
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
18/08/2010 00:21:50
mbam-log-2010-08-18 (00-21-50).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 161863
Temps écoulé: 15 minute(s), 19 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4442
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
18/08/2010 00:21:50
mbam-log-2010-08-18 (00-21-50).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 161863
Temps écoulé: 15 minute(s), 19 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.
des clés ont résisté !
c'est vraiment une sale bête ce truc !!
........................
Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.
* Téléchargez le scanner portable AVPTool sur votre Bureau.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
* Redémarrer en mode sans échec :
o Redémarrez ton PC.
o Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
o Dans le menu d'options avancées, choisissez Mode sans échec.
o Choisissez votre session habituelle.
* Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
* Répondez Oui à la question Do you want to continue installation ?.
* Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
* L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
* Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
* A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
* Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
* Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
* Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
* Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
* Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
* Postez le rapport dans votre prochaine réponse
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.
des clés ont résisté !
c'est vraiment une sale bête ce truc !!
........................
Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.
* Téléchargez le scanner portable AVPTool sur votre Bureau.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
* Redémarrer en mode sans échec :
o Redémarrez ton PC.
o Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
o Dans le menu d'options avancées, choisissez Mode sans échec.
o Choisissez votre session habituelle.
* Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
* Répondez Oui à la question Do you want to continue installation ?.
* Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
* L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
* Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
* A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
* Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
* Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
* Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
* Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
* Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
* Postez le rapport dans votre prochaine réponse
Bonjour
Le lien proposé ne permet pas de téléchargement , serveur introuvable.
Autre alternative?
Merci
Le lien proposé ne permet pas de téléchargement , serveur introuvable.
Autre alternative?
Merci
ce n'est pas bon signe
l'infection a reconnu le site de kapersky
je t'ai hébergé provisoirement l'outil
prends le ici
http://dl.free.fr/getfile.pl?file=/8OdEdnoN
l'infection a reconnu le site de kapersky
je t'ai hébergé provisoirement l'outil
prends le ici
http://dl.free.fr/getfile.pl?file=/8OdEdnoN
Bonjour
J'ai telchargé sur un autre pc; copié sur le pc infecté, mais impossible de demarrer en mode sans echec, l'ecran reste noire.
une idée?
Merci
J'ai telchargé sur un autre pc; copié sur le pc infecté, mais impossible de demarrer en mode sans echec, l'ecran reste noire.
une idée?
Merci