4242.exe - virus Résolu/Fermé

Question

Bonjour, 
Je suis infecté par le virus "4242.exe" (qui serait un "backdoor bot")
En faisant une recherche sur google je suis tombé sur un topic anglophone qui proposait d'utiliser combofix.Cela n'a cependant pas fonctionné , le virus se lançant toujours au démarrage de windows.J'ai également essayé de le supprimer manuellement ce qui a échoué , le .exe se recréant quasi instantanément...
Si quelqu'un connait la solution ... :)
merci d'avance.



Configuration: Windows XP / Firefox 3.6.8

jfkpresident · Answer

Hello,

Fait ceci et en meme temps poste moi le rapport de Combofix qui doit se trouver ici : C:\combofix.txt

Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

T5UN4M1 · Answer

Voici le rapport de Combofix :
http://dl.free.fr/getfile.pl?file=/qq46ChPg
J'ai mis le rapport de zhp sur free car cijoint me dit que mon fichier n'est pas valide.Zhp a bloqué à 76% en me disant que "Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
http://dl.free.fr/getfile.pl?file=/ovKeBop4

jfkpresident · Answer

Vive le téléchargement en P2P !!

Commence par supprimer les cracks présents sur ton pc .TU es multi-infecté dont le trojan Bifrose qui est une perle ...:(

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

T5UN4M1 · Answer

Arf ... J'avais déjà anti malware ... Mais une version de 2008 , pour ça qu'il passait à côté de beaucoup de chose ...Bref voila le rapport : 


Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org 

Version de la base de données: 4052 

Windows 5.1.2600 Service Pack 2 
Internet Explorer 8.0.6001.18702 

23/08/2010 15:47:23 
mbam-log-2010-08-23 (15-47-23).txt 

Type d'examen: Examen complet (C:\|) 
Elément(s) analysé(s): 411181 
Temps écoulé: 2 heure(s), 20 minute(s), 33 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 3 
Valeur(s) du Registre infectée(s): 1 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 1 
Fichier(s) infecté(s): 6 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\codecbho.codecplugin.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\codecbho.xmldomdocumenteventssink.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. 

Valeur(s) du Registre infectée(s): 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionhc1k4j0e92r (Rogue.AntiVirusXP) -> Quarantined and deleted successfully. 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
C:\Documents and Settings\All Users\Application Data\17869374 (Rogue.Multiple) -> Quarantined and deleted successfully. 

Fichier(s) infecté(s): 
C:\Documents and Settings\adrien\Mes documents\My Completed Downloads\diablo_2_lord_of_destruction_serial.exe.dap (Virus.Virut) -> Quarantined and deleted successfully. 
C:\Documents and Settings\adrien\Bureau
fs_most_wanted_trainer19_v1.3\pzn-nfst.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. 
C:\Qoobox\Quarantine\C\WINDOWS\system32\fccdecCR.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. 
C:\Program Files\Rippackv3\Logiciels\codec\DivX5.02\DivXPro502GAINBundle.exe (Adware.Gain) -> Quarantined and deleted successfully. 
C:\Documents and Settings\All Users\Application Data\17869374\17869374 (Rogue.Multiple) -> Quarantined and deleted successfully. 
C:\Documents and Settings\All Users\Application Data\17869374\pc17869374ins (Rogue.Multiple) -> Quarantined and deleted successfully. 


Cependant il ne fait pas mention du fameux "4242.exe"  :< 
Mais c'est déjà un joli petit nettoyage avec cette nouvelle version , merci :-)

edit : après le reboot , 4242.exe se charge toujours dans la ram :(  (même si il suffit de supprimer le processus, je n'aime pas trop ce processus "clandestin")

jfkpresident · Answer

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           
Folder::
c:\program files\Click_App
 
File::
c:\documents and settings\adrien\Application Data\Microsoft\4242.exe  
c:\documents and settings\All Users\Application Data	itle tool face bin\BASE NAME.exe       
c:\Program Files\ubi.com\Core\GS4.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"GoogleApps"=-
[-HKLM\~\startupfolder\c:\documents and settings\adrien\menu démarrer\programmes\démarragencsys32.exe] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\face bin load show]  

- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 


***Membre Contributeur Sécurité***

T5UN4M1 · Answer

Ca ne semble pas marcher.J'ai pourtant bien fait un glisser-déposer du CFScript sur combofix mais je n'ai pas eu de demande de validation , le combofix a démarré normalement excepté qu'au bout de quelques minutes l'écran s'est gelé avec le cpu a 100% (chose que j'ai déduite à cause du ventilo qui était à plein régime)  

=(

jfkpresident · Answer

As tu le rapport que Combofix a généré ?

Si tu ne l'as pas ,relance Combofix une seconde fois (sans le script ) et colle moi le nouveau rapport .

T5UN4M1 · Answer

Pas de rapport.Voici le nouveau :

http://dl.free.fr/getfile.pl?file=/16kI9Rg6

jfkpresident · Answer

Ok ,on va procéder plus gentiment :

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :


KillAll::

Rootkit::
c:\windows\system32\drivers\4104e682.sys 

Driver::
4104e682


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

T5UN4M1 · Answer

http://dl.free.fr/getfile.pl?file=/Khir7pTR

jfkpresident · Answer

Ok maintenant on va retenter le premier script :

Folder::
c:\program files\Click_App

File::
c:\documents and settings\adrien\Application Data\Microsoft\4242.exe
c:\documents and settings\All Users\Application Data	itle tool face bin\BASE NAME.exe
c:\Program Files\ubi.com\Core\GS4.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GoogleApps"=-
[-HKLM\~\startupfolder\c:\documents and settings\adrien\menu démarrer\programmes\démarragencsys32.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\face bin load show]

T5UN4M1 · Answer

C'est passé et je crois que c'est clean maintenant : plus de 4242.exe ! =) 
Merci beaucoup :)
voila le rapport au cas où il resterait des trucs mais apparemment c'est bon maintenant :-) http://dl.free.fr/getfile.pl?file=/omcIvvem

jfkpresident · Answer

Coriace le type :)

Pour finaliser ,recolle moi un nouveau log ZhpDiag .

T5UN4M1 · Answer

http://dl.free.fr/getfile.pl?file=/qdsbcdho
Il a pas buggé cette fois ci

jfkpresident · Answer

Grrrr....L'infection est toujours présente ainsi que d'autres ...:((

On lache pas ,on continu :



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

T5UN4M1 · Answer

4242.exe is back ... :-(


[b]SDFix: Version 1.240 [/b]
Run by adrien on 24/08/2010 at 23:41

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-25 00:11:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:fd,d2,21,10,01,c5,fc,71,f3,d6,c5,37,80,1e,c4,2e,42,e4,f0,55,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7a,58,2c,c4,e4,3d,ec,10,6d,98,e0,0d,9f,0e,85,2c,a7,fb,c1,c2,e1,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:19,06,66,f1,13,68,c7,8c,f8,4f,83,1d,1e,f9,2c,c2,83,df,64,1c,b1,..
"a0"=hex:20,01,00,00,ce,40,ce,13,c7,b6,a3,ab,f2,ca,9c,34,6e,c9,5e,cb,20,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:94,20,8d,fe,20,c3,cf,b1,0c,4e,43,df,d5,f8,38,d9,93,c8,0b,65,84,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:fd,d2,21,10,01,c5,fc,71,f3,d6,c5,37,80,1e,c4,2e,42,e4,f0,55,f9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7a,58,2c,c4,e4,3d,ec,10,6d,98,e0,0d,9f,0e,85,2c,a7,fb,c1,c2,e1,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:19,06,66,f1,13,68,c7,8c,f8,4f,83,1d,1e,f9,2c,c2,83,df,64,1c,b1,..
"a0"=hex:20,01,00,00,ce,40,ce,13,c7,b6,a3,ab,f2,ca,9c,34,6e,c9,5e,cb,20,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:94,20,8d,fe,20,c3,cf,b1,0c,4e,43,df,d5,f8,38,d9,93,c8,0b,65,84,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\mIRC\mirc.exe"="C:\Program Files\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Program Files\X-Chat 2\xchat.exe"="C:\Program Files\X-Chat 2\xchat.exe:*:Enabled:X-Chat IRC Client"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\ubi.com\Core\GS4.exe"="C:\Program Files\ubi.com\Core\GS4.exe:*:Enabled:ubi.com Game Service"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:Logiciel de transfert de fichiers"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Program Files\phpDesigner 2008\phpDesigner2008.exe"="C:\Program Files\phpDesigner 2008\phpDesigner2008.exe:*:Enabled:phpDesigner2008"
"C:\Program Files\Windows Media Player\wmplayer.exe"="C:\Program Files\Windows Media Player\wmplayer.exe:*:Disabled:Lecteur Windows Media"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\Warcraft III\Warcraft III.exe"="C:\Program Files\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Documents and Settings\adrien\Bureau\fichiers\Mozilla Firefox\firefox.exe"="C:\Documents and Settings\adrien\Bureau\fichiers\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\Microsoft Games\Freelancer\EXE\Freelancer.exe"="C:\Program Files\Microsoft Games\Freelancer\EXE\Freelancer.exe:*:Enabled:Freelancer"
"C:\Program Files\Xfire\Xfire.exe"="C:\Program Files\Xfire\Xfire.exe:*:Enabled:Xfire"
"C:\Program Files\aMSN\bin\wish.exe"="C:\Program Files\aMSN\bin\wish.exe:*:Enabled:Wish Application"
"C:\Program Files\Microsoft Games\Freelancer\EXE\flserver.exe"="C:\Program Files\Microsoft Games\Freelancer\EXE\flserver.exe:*:Enabled:Freelancer"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Program Files\Microsoft Games\Dungeon Siege\DungeonSiege.exe"="C:\Program Files\Microsoft Games\Dungeon Siege\DungeonSiege.exe:*:Enabled:Dungeon Siege Game Executable"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Steam\Steam.exe"="C:\Program Files\Steam\Steam.exe:*:Enabled:Steam"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Documents and Settings\adrien\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe"="C:\Documents and Settings\adrien\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe:*:Enabled:Main program for Octoshape client"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Documents and Settings\adrien\Mes documents\Downloads\Counter-Strike\hl.exe"="C:\Documents and Settings\adrien\Mes documents\Downloads\Counter-Strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Microsoft Games\Sirius_Hegemonia\EXE\Freelancer.exe"="C:\Program Files\Microsoft Games\Sirius_Hegemonia\EXE\Freelancer.exe:*:Enabled:Freelancer"
"C:\Program Files\Steam\SteamApps\t5un4m1337\condition zero\hl.exe"="C:\Program Files\Steam\SteamApps\t5un4m1337\condition zero\hl.exe:*:Enabled:Counter-Strike: Condition Zero"
"C:\Program Files\Steam\SteamApps\t5un4m1337\counter-strike\hl.exe"="C:\Program Files\Steam\SteamApps\t5un4m1337\counter-strike\hl.exe:*:Enabled:Counter-Strike"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed  3 Feb 2010        26,176 A..H. --- "C:\Program Files\LogMeIn Hamachi\hamachi.sys"
Wed  3 Feb 2010        26,176 A..H. --- "C:\WINDOWS\system32\hamachi.sys"
Wed 28 May 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 27 Mar 2010     1,880,064 A.SHR --- "C:\Documents and Settings\ghost1\Application Data\bnetcache3352.exe"
Sat 27 Mar 2010     1,880,064 A.SHR --- "C:\Documents and Settings\T555\Application Data\bnetcache3352.exe"
Sat 27 Mar 2010     1,880,064 A.SHR --- "C:\Documents and Settings	five\Application Data\bnetcache3352.exe"
Wed 23 Sep 2009        26,176 A..H. --- "C:\WINDOWS\system32\drivers\hamachi.sys"
Wed 15 Apr 2009             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Fri 19 Mar 2010       165,232 A..H. --- "C:\Documents and Settings\adrien\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll"
Thu 30 Aug 2007         9,506 A.SH. --- "C:\Documents and Settings\adrien\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Mon 28 Jun 2010         5,686 A.SH. --- "C:\Documents and Settings\All Users\Documents\TV enregistr'e\TempRec\TempSBE\SBE1.tmp"
Mon 28 Jun 2010         5,940 A.SH. --- "C:\Documents and Settings\All Users\Documents\TV enregistr'e\TempRec\TempSBE\SBE3.tmp"

[b]Finished![/b]

jfkpresident · Answer

1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

2.Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau



3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.



4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

T5UN4M1 · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.



j'ai aussi pris l'initiative de faire un coup de spyware doctor qui semble avoir fait un ménage plutôt correct si j'en crois la liste de trojans qu'il aurait supprimés , je ferai une analyse complète cette nuit.

jfkpresident · Answer

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Folder to delete:
c:\program files\Click_App 

Drivers to disable:
4104e682 

Drivers to delete:
4104e682 

Files to delete:
c:\documents and settings\adrien\Application Data\Microsoft\4242.exe
c:\documents and settings\All Users\Application Data	itle tool face bin\BASE NAME.exe
c:\Program Files\ubi.com\Core\GS4.exe 

Registry values to delete:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GoogleApps"=- 

Registry keys to delete:
[-HKLM\~\startupfolder\c:\documents and settings\adrien\menu démarrer\programmes\démarragencsys32.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\face bin load show] 

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

T5UN4M1 · Answer

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed Aug 25 21:46:04 2010

21:46:01: Error: Invalid syntax in command:
"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Skipping line.  (Registry value deletion mode)  
21:46:04: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed Aug 25 21:46:24 2010

21:46:22: Error: Invalid syntax in command:
"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Skipping line.  (Registry value deletion mode)  
21:46:24: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed Aug 25 21:47:40 2010

21:47:15: Error: Invalid syntax in command:
"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Skipping line.  (Registry value deletion mode)  
21:47:26: Error: Invalid syntax in command:
""GoogleApps"=-"
Skipping line.  (Registry value deletion mode)  
21:47:30: Error: Invalid registry syntax in command:
"[-HKLM\~\startupfolder\c:\documents and settings\adrien\menu démarrer\programmes\démarragencsys32.exe]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  
21:47:33: Error: Invalid registry syntax in command:
"[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\face bin load show]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "4104e682"
Disablement of driver "4104e682" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\4104e682" not found!
Deletion of driver "4104e682" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\documents and settings\adrien\Application Data\Microsoft\4242.exe" not found!
Deletion of file "c:\documents and settings\adrien\Application Data\Microsoft\4242.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\documents and settings\All Users\Application Data	itle tool face bin\BASE NAME.exe" not found!
Deletion of file "c:\documents and settings\All Users\Application Data	itle tool face bin\BASE NAME.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\Program Files\ubi.com\Core\GS4.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

jfkpresident · Answer

Maintenant recolle moi un nouveau log ZhpDiag pour voir ou on en est .

T5UN4M1 · Answer

http://dl.free.fr/getfile.pl?file=/wpA5qbVb

jfkpresident · Answer

Il est toujours la ...

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe


:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c255c8a-e604-49b4-9d64-90988571cecb}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"GoogleApps"=-

:files
C:\Documents and Settings\adrien\Mes documents\System32\4242.exe       
C:\Documents and Settings\All Users\Application Data	itle tool face bin\BASE NAME.exe       
C:\WINDOWS\system32\sav80231.sys    
   
:services
sav80231

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

T5UN4M1 · Answer

All processes killed 
========== PROCESSES ========== 
Process explorer.exe killed successfully! 
========== REGISTRY ========== 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c255c8a-e604-49b4-9d64-90988571cecb}\ deleted successfully. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}\ not found. 
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\GoogleApps deleted successfully. 
========== FILES ========== 
C:\Documents and Settings\adrien\Mes documents\System32\4242.exe moved successfully. 
File/Folder C:\Documents and Settings\All Users\Application Data	itle tool face bin\BASE NAME.exe not found. 
C:\WINDOWS\system32\sav80231.sys moved successfully. 
========== SERVICES/DRIVERS ========== 
Error: No service named sav80231 was found to stop! 
Service\Driver key sav80231 not found. 
========== COMMANDS ========== 
  
[EMPTYTEMP] 
  
User: Administrateur 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
User: adrien 
->Temp folder emptied: 13721773 bytes 
->Temporary Internet Files folder emptied: 2115262 bytes 
->Java cache emptied: 0 bytes 
->FireFox cache emptied: 57494856 bytes 
->Google Chrome cache emptied: 0 bytes 
->Opera cache emptied: 4143873 bytes 
->Flash cache emptied: 4026 bytes 
  
User: All Users 
  
User: Application Data 
  
User: Default User 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
User: ghost1 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
User: ghost2 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
->FireFox cache emptied: 4080595 bytes 
  
User: Invité 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
User: LocalService 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 33664 bytes 
  
User: NetworkService 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 32902 bytes 
  
User: T555 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
User: tfive 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
%systemdrive% .tmp files removed: 0 bytes 
%systemroot% .tmp files removed: 1834 bytes 
%systemroot%\System32 .tmp files removed: 8650576 bytes 
%systemroot%\System32\dllcache .tmp files removed: 0 bytes 
%systemroot%\System32\drivers .tmp files removed: 0 bytes 
Windows Temp folder emptied: 0 bytes 
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes 
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes 
RecycleBin emptied: 0 bytes 
  
Total Files Cleaned = 86,00 mb 
  
  
OTM by OldTimer - Version 3.1.15.0 log created on 08262010_124936 

Files moved on Reboot... 

Registry entries deleted on Reboot...




edit : après un reboot supplémentaire du pc , 4242.exe ne semble plus être présent, aussi je poste un nouveau rapport zhpdiag pour confirmer (ou non) que les nuisibles ont été jartés :)
http://dl.free.fr/getfile.pl?file=/JhdbTEjm

jfkpresident · Answer

On a virer le plus gros maintenant on va supprimer les restes :

télécharge lopS&D

*double-cliquez dessus pour installer le programme.
* Un raccourci sera créé sur votre bureau , double-cliquez dessus pour lancer l'outil.
*choisis la langue .
*choisis l'option 1 (recherche) .
*copie/colle le rapport sur le forum.

T5UN4M1 · Answer

http://dl.free.fr/getfile.pl?file=/IzWgbirO

afideg · Answer

Hello JFK,
Oufti!
Pas  souvent vu ça.   ;)
Amicalement.
Albert

jfkpresident · Answer

relance LopS&D et choisis l'option 2 .
ensuite colle le rapport généré 

Fait moi plaisir et supprimes moi tous ces keygens :

C:\DOCUME~1\adrien\Application Data\BitTorrent\Windows XP SP3 Keygen + Key Changer + Windows Genuine Validation.torrent
   C:\DOCUME~1\adrien\Application Data\LimeWire\.AppSpecialShare\Windows XP SP3 Keygen + Key Changer + Windows Genuine Validation.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\Adobe Premiere Pro v2.0 + Crack  [App][MULTI][www.zonatorrent.com].torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\GoldWave.v5.55.Incl.Keygen-BLiZZARD.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\Stronghold Crusader Extreme NO CD crack.rar.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\ST_NEWWORLDS_CDCRACK_TRNER.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\WarCraft III Frozen Throne CD Keygen.zip.torrent
   C:\DOCUME~1\adrien\Bureau\Cossacks2_Battle_for_Europe_crack.rar
   C:\DOCUME~1\adrien\Bureau\WarCraft3_TFT_Keygen
   C:\DOCUME~1\adrien\Bureau\WarCraft_3_KeyGen_and_Patch
   C:\DOCUME~1\adrien\Bureau\fichiers\Macromedia Flash Professionnel v8 FR & Keygen.rar
   C:\DOCUME~1\adrien\Bureau\fichiers\Stronghold Crusader Extreme NO CD crack.torrent
   C:\DOCUME~1\adrien\Bureau\WarCraft3_TFT_Keygen\icyHell.net.URL
   C:\DOCUME~1\adrien\Bureau\WarCraft3_TFT_Keygen\WarCraft3_TFT_Keygen_by_CRiS.exe
   C:\DOCUME~1\adrien\Bureau\WarCraft_3_KeyGen_and_Patch\readme.txt
   C:\DOCUME~1\adrien\Bureau\WarCraft_3_KeyGen_and_Patch\warcraft3_patch.exe
   C:\DOCUME~1\adrien\Mes documents\Downloads\GoldWave.v5.55.Incl.Keygen-BLiZZARD
   C:\DOCUME~1\adrien\Mes documents\Downloads\GoldWave.v5.55.Incl.Keygen-BLiZZARD\keygen.exe
   C:\DOCUME~1\adrien\Mes documents\Downloads\GoldWave.v5.55.Incl.Keygen-BLiZZARD\~uTorrentPartFile_33FB6B.dat
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack\divine.nfo
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack\ig2.exe
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack\info.txt
   C:\DOCUME~1\adrien\Mes documents\Downloads\Stronghold.Crusader.Extreme.Full-Rip.Skullptura\Stronghold.Crusader.Extreme.Full-Rip.Skullptura\Stronghold Crusader\gm\cracks.gm1
   C:\DOCUME~1\adrien\Mes documents\Downloads\warcraft\Very Important!!!! Crack and play on battlenet.txt
   C:\DOCUME~1\adrien\Mes documents\My Completed Downloads\Dark Ewok's Item Pack\Dark Ewok's Item Pack\Unique Items\Weapons\Exceptionnals\Swords\Cloudcrack.d2i
   C:\DOCUME~1\adrien\Mes documents\My Completed Downloads\Dark Ewok's Item Pack_1\Dark Ewok's Item Pack\Unique Items\Weapons\Exceptionnals\Swords\Cloudcrack.d2i


C'est ceux ci qui te pourissent le pc et risque meme de réactiver l'infection !!

T5UN4M1 · Answer

http://dl.free.fr/getfile.pl?file=/PfpyXnCj

jfkpresident · Answer

On arrive au bout :)

Supprimes ce dossier dans tes programmes : C:\Program Files\PopCap Games     

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "OK".

3/Coche ces cases (et pas d'autres !):

[HKCU\Software\PopCap]      
[HKCU\Software\balm love modeplatform]     
[HKCU\Software\vmntoolbar]      
[HKLM\Software\PopCap]       
[HKLM\Software\Trymedia Systems]      
  

4/Pour finir clique sur "Nettoyer" .


5/colle le rapport obtenu .

Dis moi ensuite comment va le pc ?

T5UN4M1 · Answer

Rapport de ZHPFix v1.12.3138 par Nicolas Coolman, Update du 25/08/2010 
Fichier d'export Registre : C:\ZHPExportRegistry-27-08-2010-00-07-08.txt 
Run by adrien at 27/08/2010 00:07:08 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
HKCU\Software\PopCap  => Clé supprimée avec succès 
HKCU\Software\balm love modeplatform  => Clé supprimée avec succès 
HKCU\Software\vmntoolbar  => Clé supprimée avec succès 
HKLM\Software\PopCap  => Clé supprimée avec succès 
HKLM\Software\Trymedia Systems  => Clé supprimée avec succès 


========== Récapitulatif ========== 
5 : Clé(s) du Registre 


End of the scan 


edit : j'suppose que c'est clean :D
Merci beaucoup de m'avoir aidé à "nettoyer" tout ce bordel.
Je ferai preuve de plus de prudence , et vigilence à l'avenir :)

jfkpresident · Answer

On va cloturer le sujet :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

============

Met a jour Windows ,SP2 >>>SP3 ==> http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e

Met a jour ta console Java : https://www.java.com/fr/download/manual.jsp

===========

Supprimes Spyware Doctor et Ad-aware ..Ils sont obsoletes .

Supprimes également Norton (trop lourd et inéfficace) avec cet outil : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Installe Antivir a la place :

*Antivir (d'avira) Gratuit et en français : http://www.commentcamarche.net/download/telecharger-55-antivir

configurer antivir

Tu gardera Antivir + MBAM sur ton pc .

===========

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

============

Vu que tu es un fan du téléchargement ,je te conseille vivement de lire ceci :

danger du P2P et des cracks

également un exemple concret ici 

En attendant je te souhaite un bon surf sur la toile -;)

4242.exe -> virus

32 réponses

Discussions similaires