Antimalware doctor a infecte mon pc [Résolu/Fermé]

Signaler
Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014
-
Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014
-
Bonjour, je voudrais supprimer ce programme et me proteger contre de future infection

Merci



36 réponses

Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Bonsoir,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 57008 internautes nous ont dit merci ce mois-ci

Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

j'ai laisser fonctionner le programme une journee complete et il n'a toujours pas termine
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
j'ai laisser fonctionner le programme une journee complete et il n'a toujours pas termine


Quel programme ?
Utilisateur anonyme
à toi la main jfk bonsoir :)
Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4532

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

02/09/2010 6:08:14 PM
mbam-log-2010-09-02 (18-08-14).txt

Scan type: Full scan (C:\|)
Objects scanned: 204545
Time elapsed: 48 minute(s), 3 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 2
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*bootcentercsc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\All Users\Application Data\bootcentercsc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\best buy\Local Settings\Temp\explorer.exe (Trojan.Agent) -> Delete on reboot.
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Salut Gen-;)

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

pas capable de joindre le rapport sur le site de partage de fichier. Le fichier est invalide.
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
*Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :

Rkill
Rkill
Rkill
Rkill

*Enregistrer le fichier sur le Bureau.
*Désactive ton antivirus et/ou antispyware .
*Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
*Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Ensuite réessaie d'héberger le rapport sur Cijoint .

Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

non ca marche pas ca dis cannot display the webpage
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

https://www.cjoint.com/?jgajhgYlNP
https://www.cjoint.com/?jgalZluXNy
https://www.cjoint.com/?jgankhJKQb
https://www.cjoint.com/?jgapt6FRip
https://www.cjoint.com/?jgas2jI0SE
https://www.cjoint.com/?jgauNBj0mg


voila c'est tout ce que j'ai pu envoyer du rapport au debut ca foctionnait mais la taillle des fichier ne cessait de diminuer jusqua ce que je ne puisse plus rien envoyer ... bizzare!!!
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
J'ai essayé de recolle les morceaux mais il en manque quand meme mais ça m'a permis de voir quelques infections .

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

ComboFix 10-09-06.02 - best buy 06/09/2010 15:35:23.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.2.1033.18.2038.1699 [GMT -4:00]
Running from: c:\documents and settings\best buy\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\2008.exe
c:\documents and settings\best buy\AdvBHO.dll
c:\documents and settings\best buy\Application Data\BF9CB8EADFCB7D98D6980F8B13303A42
c:\documents and settings\best buy\Application Data\BF9CB8EADFCB7D98D6980F8B13303A42\enemies-names.txt
c:\documents and settings\best buy\Application Data\BF9CB8EADFCB7D98D6980F8B13303A42\local.ini
c:\documents and settings\best buy\Local Settings\Application Data\{30562C7F-AA73-47E7-BDDB-5F947789B663}
c:\documents and settings\best buy\Local Settings\Application Data\{30562C7F-AA73-47E7-BDDB-5F947789B663}\chrome.manifest
c:\documents and settings\best buy\Local Settings\Application Data\{30562C7F-AA73-47E7-BDDB-5F947789B663}\chrome\content\_cfg.js
c:\documents and settings\best buy\Local Settings\Application Data\{30562C7F-AA73-47E7-BDDB-5F947789B663}\chrome\content\overlay.xul
c:\documents and settings\best buy\Local Settings\Application Data\{30562C7F-AA73-47E7-BDDB-5F947789B663}\install.rdf
c:\program files\Common Files\AdVBho.dll
c:\windows\iduwayec.dll
c:\windows\svc2.exe
c:\windows\system32\msippsth.dll

Infected copy of c:\windows\system32\drivers\dmload.sys was found and disinfected
Restored copy from - Kitty had a snack :p
c:\windows\explorer.exe . . . is infected!!

Infected copy of c:\windows\system32\userinit.exe was found and disinfected
Restored copy from - c:\windows\system32\dllcache\userinit.exe

c:\windows\system32\winlogon.exe . . . is infected!!

.
\\.\PhysicalDrive0 - Bootkit Agent was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Agent was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TCPIP_PASS-THROUGH_FILTER
-------\Service_TCPIP Pass-through Filter


((((((((((((((((((((((((( Files Created from 2010-08-06 to 2010-09-06 )))))))))))))))))))))))))))))))
.

2010-09-03 13:43 . 2010-09-05 22:04 -------- d-----w- c:\program files\ZHPDiag
2010-09-02 22:08 . 2010-09-02 22:08 154112 ----a-w- c:\program files\uiauditwin.exe
2010-09-01 22:21 . 2010-09-01 22:21 -------- d-----w- C:\Kill'em
2010-09-01 22:21 . 2010-09-02 00:12 -------- d-----w- c:\program files\List_Kill'em
2010-09-01 20:48 . 2010-09-01 20:48 -------- d-----w- c:\documents and settings\best buy\Application Data\Malwarebytes
2010-09-01 20:48 . 2010-04-29 19:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-01 20:48 . 2010-09-02 19:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-01 20:48 . 2010-09-01 20:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-01 20:48 . 2010-04-29 19:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-29 02:09 . 2010-08-29 02:09 -------- d-----w- c:\documents and settings\best buy\Application Data\Bitrix Security
2010-08-16 20:15 . 2010-08-16 20:15 94208 ----a-w- c:\windows\mprchst.exe
2010-08-09 15:25 . 2010-08-09 15:25 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-08-09 15:09 . 2010-09-04 12:52 1098 ----a-w- c:\windows\Kcuvafari.dat
2010-08-09 15:09 . 2010-09-04 12:52 0 ----a-w- c:\windows\Oconitu.bin
2010-08-09 15:07 . 2010-08-09 16:06 -------- d-----w- c:\documents and settings\best buy\Local Settings\Application Data\okcnsiyko

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-06 19:17 . 2010-03-28 22:59 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-08-30 12:38 . 2010-03-31 00:20 -------- d-----w- c:\documents and settings\best buy\Application Data\TuneUpMedia
2010-08-29 02:06 . 2010-08-29 02:06 -------- d-----w- c:\documents and settings\NetworkService\Application Data\Bitrix Security
2010-08-29 02:06 . 2010-08-29 02:06 35328 ----a-w- c:\documents and settings\NetworkService\Application Data\Bitrix Security\omusgg24.dll
2010-08-27 01:07 . 2010-08-27 01:06 -------- d-----w- c:\program files\TuneUpMedia
2010-08-10 01:41 . 2010-04-28 00:31 -------- d-----w- c:\program files\WindsorDirect 4
2010-08-10 01:19 . 2009-04-06 23:59 -------- d-----w- c:\program files\Interbank FX Trader 4
2010-07-14 23:48 . 2010-07-14 23:48 63488 ----a-w- c:\documents and settings\best buy\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-07-14 23:48 . 2010-07-14 23:48 52224 ----a-w- c:\documents and settings\best buy\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-07-14 23:48 . 2010-07-14 23:48 117760 ----a-w- c:\documents and settings\best buy\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-07-14 23:47 . 2010-07-14 23:47 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-07-14 23:47 . 2010-07-14 23:47 -------- d-----w- c:\documents and settings\best buy\Application Data\SUPERAntiSpyware.com
2010-07-14 23:47 . 2010-07-14 23:47 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-07-14 23:37 . 2010-02-27 01:05 -------- d-----w- c:\documents and settings\best buy\Application Data\Skype
2010-07-14 21:28 . 2010-02-27 01:08 -------- d-----w- c:\documents and settings\best buy\Application Data\skypePM
2010-07-14 21:24 . 2010-07-14 21:22 -------- d-----w- c:\program files\Ad-Remover
2010-07-14 21:21 . 2009-04-19 13:50 -------- d-----w- c:\documents and settings\best buy\Application Data\Azureus
2010-07-14 18:08 . 2010-07-14 18:08 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU9009255397059514620.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-14 01:25 . 2010-07-14 01:25 388096 ----a-r- c:\documents and settings\best buy\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-07-14 01:25 . 2010-07-14 01:25 -------- d-----w- c:\program files\Trend Micro
2010-07-13 19:09 . 2010-07-13 19:09 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU7747234730128954097.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-12 20:10 . 2010-07-12 20:10 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU8680552364548552618.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-11 21:11 . 2010-07-11 21:11 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU8583878817867533226.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-10 08:51 . 2010-07-10 08:51 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU8610685687447050337.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-09 09:53 . 2010-07-09 09:53 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU1358946615186211749.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-08 10:51 . 2010-07-08 10:51 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU7414953552972336392.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-07 11:51 . 2010-07-07 11:51 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU1379120457693690473.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-06 12:51 . 2010-07-06 12:51 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU8764909088273860730.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-05 13:52 . 2010-07-05 13:52 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU2670704520102483743.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-04 14:53 . 2010-07-04 14:53 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU85948305595346066.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-03 15:53 . 2010-07-03 15:53 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU6788731722153072521.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-02 16:53 . 2010-07-02 16:53 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU2010111990010075921.tmp\Vuze_4.4.0.6a_win32.exe
2010-07-01 17:52 . 2010-07-01 17:52 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU8710054746290046635.tmp\Vuze_4.4.0.6a_win32.exe
2010-06-30 18:55 . 2010-06-30 18:55 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU5460952575370106974.tmp\Vuze_4.4.0.6a_win32.exe
2010-06-29 19:55 . 2010-06-29 19:55 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU5686737456705255986.tmp\Vuze_4.4.0.6a_win32.exe
2010-06-28 20:53 . 2010-06-28 20:53 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU1982541926591147613.tmp\Vuze_4.4.0.6a_win32.exe
2010-06-27 21:54 . 2010-06-27 21:54 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU4002412701361903036.tmp\Vuze_4.4.0.6a_win32.exe
2010-06-25 11:06 . 2010-06-25 11:06 8177088 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU7363603460976945232.tmp\Vuze_4.4.0.6a_win32.exe
2010-06-24 12:07 . 2010-06-24 12:07 8086976 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU3785269914393871854.tmp\Vuze_4.4.0.6_win32.exe
2010-06-23 13:06 . 2010-06-23 13:06 8086976 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU6087866235411944873.tmp\Vuze_4.4.0.6_win32.exe
2010-06-22 14:06 . 2010-06-22 14:06 8086976 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU6583508687504943310.tmp\Vuze_4.4.0.6_win32.exe
2010-06-21 15:06 . 2010-06-21 15:06 8086976 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU6093415849878058340.tmp\Vuze_4.4.0.6_win32.exe
2010-06-20 16:06 . 2010-06-20 16:06 8086976 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU8321470404578442429.tmp\Vuze_4.4.0.6_win32.exe
2010-06-19 17:07 . 2010-06-19 17:07 8086976 ----a-w- c:\documents and settings\best buy\Application Data\Azureus\tmp\AZU6417968502227759199.tmp\Vuze_4.4.0.6_win32.exe
2010-06-14 14:30 . 2009-04-01 21:47 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-11 07:24 . 2010-06-11 07:24 503808 ----a-w- c:\documents and settings\best buy\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-281a75c0-n\msvcp71.dll
2010-06-11 07:24 . 2010-06-11 07:24 499712 ----a-w- c:\documents and settings\best buy\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-281a75c0-n\jmc.dll
2010-06-11 07:24 . 2010-06-11 07:24 348160 ----a-w- c:\documents and settings\best buy\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-281a75c0-n\msvcr71.dll
.

------- Sigcheck -------

[-] 2008-04-14 . ED0EF0A136DEC83DF69F04118870003E . 507904 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\e9500597a78495f397efb821e37bf356\winlogon.exe
[-] 2004-08-10 . EC6AAE3895AB39FC0218DF46917F1C90 . 502272 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . 12896823FB95BFB3DC9B46BCAEDC9923 . 1033728 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\e9500597a78495f397efb821e37bf356\explorer.exe
[-] 2004-08-10 . B9F3398BFD9914D01AC64D1CD054EA22 . 1032192 . . [6.00.2900.2180] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobiLink Lite"="c:\program files\Novatel Wireless\MobiLink\Lite.exe" [2008-02-20 409672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-10 39408]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-06-29 2403568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-11 417792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*uiauditwin.exe"="c:\program files\uiauditwin.exe" [2010-09-02 154112]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 2:25 PM 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 2:41 PM 67656]
S2 gupdate1cab7461ac65b22;Google Update Service (gupdate1cab7461ac65b22);c:\program files\Google\Update\GoogleUpdate.exe [26/02/2010 8:45 PM 133104]
S3 SNPP106;PC Camera (6029 CIF);c:\windows\system32\drivers\snpp106.sys [26/02/2010 9:21 PM 227200]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{15AA3580-03FA-4A96-A369-B8971EC8B3FB}]
2010-08-29 02:06 35328 ----a-w- c:\documents and settings\NetworkService\Application Data\Bitrix Security\omusgg24.dll
.
Contents of the 'Scheduled Tasks' folder

2010-09-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 16:34]

2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-27 00:45]

2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-27 00:45]

2010-09-06 c:\windows\Tasks\Norton Security Scan for best buy.job
- c:\program files\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-03-27 14:06]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-NetLog2 - c:\windows\svc2.exe
HKLM-Run-Pyugevigu - c:\windows\iduwayec.dll
AddRemove-Stat 'n' Perf 1.13 Beta 03 - c:\program files\StatnPerf\StatnPerf -uninst



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-06 15:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(1764)
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\wltrysvc.exe
c:\windows\System32\bcmwltry.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wscntfy.exe
c:\program files\Novatel Wireless\Mobilink\Phoenix.exe
.
**************************************************************************
.
Completion time: 2010-09-06 15:51:09 - machine was rebooted
ComboFix-quarantined-files.txt 2010-09-06 19:51

Pre-Run: 70,340,317,184 bytes free
Post-Run: 71,637,860,352 bytes free

- - End Of File - - 1F7EBC8626468C18FD0290EF87DFE834
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Télécharge WinFileReplace(de Loup_blanc)
http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

Ferme tout tes programmes puis double clique sur l'icone WinFileReplace
Choisis ta langue puis clique sur [Enter]
Laisse le programme vérifier ta version de Widows

Dans le bloc-note(qui viens de s'ouvrir)
copie/colle ce qui est en gras ci-dessous

c:\windows\explorer.exe
c:\windows\system32\winlogon.exe


Enregistre et ferme le bloc-note
***sois patient*** cela peut prendre plusieurs minutes(le % d'avancement du téléchargement apparaît en haut de la fenêtre).
Accepte le contrat de licence d'utilisateur de Microsoft

clique sur "O" puis [Enter]
Une fois le remplacement effectué, il te sera demandé de redémarrer ton PC
Accepte
poste le rapport!
Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

WinFileReplace - ver : 1.1.0 - by Loup blanc

---------------------------
Microsoft Windows XP
Service Pack 2
Anglais
---------------------------
Contrôle du fichier téléchargé :
MD5 recherchée : 59a98f181fe383907e520a391d75b5a7
sp2.000 MD5 : 59a98f181fe383907e520a391d75b5a7
---------------------------

============ Comparaison des fichiers avant remplacement ============

---------
Les fichiers
"c:\WINDOWS\explorer.exe" MD5 : b9f3398bfd9914d01ac64d1cd054ea22
"c:\WINDOWS\explorer.exe" MD5 : b9f3398bfd9914d01ac64d1cd054ea22
et
"C:\FR-files\explorer.exe" MD5 : a0732187050030ae399b241436565e64
"C:\FR-files\explorer.exe" MD5 : a0732187050030ae399b241436565e64
sont différents...
-----------

Les fichiers
"c:\WINDOWS\system32\winlogon.exe" MD5 : ec6aae3895ab39fc0218df46917f1c90
"c:\WINDOWS\system32\winlogon.exe" MD5 : ec6aae3895ab39fc0218df46917f1c90
et
"C:\FR-files\winlogon.exe" MD5 : 01c3346c241652f43aed8e2149881bfe
"C:\FR-files\winlogon.exe" MD5 : 01c3346c241652f43aed8e2149881bfe
sont différents...
-----------


============ Comparaison des fichiers après remplacement ============

-----------
Les fichiers
"c:\WINDOWS\explorer.exe" MD5 = 59c0416c549ec7fcb1ab827562ebd680
et
"C:\FR-files\explorer.exe" MD5 = a0732187050030ae399b241436565e64
sont différents...

Il est possible que le nouveau fichier ai déjà été modifié.

Echec du remplacement
-----------

Les fichiers
"c:\WINDOWS\system32\winlogon.exe" MD5 = 4755032342329e19f3c3a82c6aeb52bc
et
"C:\FR-files\winlogon.exe" MD5 = 01c3346c241652f43aed8e2149881bfe
sont différents...

Il est possible que le nouveau fichier ai déjà été modifié.

Echec du remplacement
-----------

======= Fin du rapport =======
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Le remplacement de explorer et winlogon n'ont pas pu s'éffectuer ....

Je vais voir ce qu'on peut faire d'autre ,patiente un peu .
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Je suis de retour (merci Ange-;))

?Télécharge OTLPEnet sur ton Bureau.

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* demarrer sur le cdrom crée de Reatogo , voir exemple: https://forum.malekal.com/viewtopic.php?t=9447&start=
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-click sur l'icone OTLPE
* Clique "yes" au prochain message
* Selectionne ta session puis vérifie que "Automatically Load All Remaining Users" soit sélectionné et press OK
*sous "Custom Scan box" copie_colle le contenu du texte en gras ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
wininit.exe
userinit.exe
winlogon.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT


* clic Run Scan pour demarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine reponse

Si ton rapport est trop long, utilise le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

Messages postés
45
Date d'inscription
mercredi 1 septembre 2010
Statut
Membre
Dernière intervention
31 décembre 2014

lors de la decompression du fichier le message file is corrupt apparait
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Salut,

Avec quel logiciel as tu gravé l'image ISO ?

As tu bien cocher "image ISO" et non "disque de données" ?
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 159
Tu va comme ceci avec OTLPE :

Télécharge son ISO ici : http://www.multifa7.be/SkyTech/OTLPE_New_Net.iso

» utilise ton utilitaire de gravure pour graver l'image , il faut utiliser l'option fichier\ graver iso \ graver image, ça peut etre different en fonction des utilitaires de gravures , mais le principe reste le meme.Ne pas graver comme disque de données /!\

Si tu n'a pas de logiciel de gravure pour ISO alors utilises celui-ci:

? telecharge et dezippe BurnCDCC.zip ---> https://www.sendspace.com/file/l62wzn

? Avec l'onglet "browse", sélectionne OTLPE_New_Net.iso

? coche alors "read verify" , "Finalyze" et "autoeject"

? déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start