Virus extremement coriace
Résolu
PcFun
-
PcFun -
PcFun -
Bonjour,
Depuis quelques jours, j'ai un très gros probleme sur mon ordinateur et je pense que c'est dû à un virus.
Voici les symptomes :
- Le gestionnaires des taches et la modification du registre a été desactivé par l'administrateur.
- Les fichiers .exe sont souvent corompu après que je les ai executé.
- Le wifi deconne (connexion limité ou inconnue).
- Certains programmes ne s'ouvre plus (Firefox, Spybot SD).
- L'antivirus ne se lance plus au demarrage.
J'ai formaté plusieurs fois mon ordinateur mais le virus revient à chaque fois car j'ai 4 partitions.
Je PENSE avoir repéré le virus qui est à la racine de mes disques dur, c'est un autorun.inf accompagné d'un .exe qui change de nom en fonctions des disque.
Voici le contenu de l'autorun:
[AutoRun]
;akLI fmBIYi UwueG
;
oPeN=sska.exe
sheLl\opeN\ComMand=sska.exe
shell\OpEn\DEfaULt=1
;dnsevo eXjewGnL
sHELl\explorE\Command = sska.exe
;khat
shElL\auTOpLAy\CoMmand = sska.exe
;wqtVd
J'ai fait des scans avec malwarebytes, combofix et d'autres mais impossible de le supprimer.
Mon PC est fraichement formater (C:)
Merci de votre aide.
Depuis quelques jours, j'ai un très gros probleme sur mon ordinateur et je pense que c'est dû à un virus.
Voici les symptomes :
- Le gestionnaires des taches et la modification du registre a été desactivé par l'administrateur.
- Les fichiers .exe sont souvent corompu après que je les ai executé.
- Le wifi deconne (connexion limité ou inconnue).
- Certains programmes ne s'ouvre plus (Firefox, Spybot SD).
- L'antivirus ne se lance plus au demarrage.
J'ai formaté plusieurs fois mon ordinateur mais le virus revient à chaque fois car j'ai 4 partitions.
Je PENSE avoir repéré le virus qui est à la racine de mes disques dur, c'est un autorun.inf accompagné d'un .exe qui change de nom en fonctions des disque.
Voici le contenu de l'autorun:
[AutoRun]
;akLI fmBIYi UwueG
;
oPeN=sska.exe
sheLl\opeN\ComMand=sska.exe
shell\OpEn\DEfaULt=1
;dnsevo eXjewGnL
sHELl\explorE\Command = sska.exe
;khat
shElL\auTOpLAy\CoMmand = sska.exe
;wqtVd
J'ai fait des scans avec malwarebytes, combofix et d'autres mais impossible de le supprimer.
Mon PC est fraichement formater (C:)
Merci de votre aide.
A voir également:
- Virus extremement coriace
- Pc extrêmement lent - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
27 réponses
Tu devrait essayer de vider ta memoire systeme, le petit gaillard y est surement planqué, tu as divers processus sur le net si tu veut t'aider
bonjour
ca sent pas bon ton affaire selon la description que tu en fais
peux tu poster tous les rapports en ta possession
si ca ne passe pas
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
ca sent pas bon ton affaire selon la description que tu en fais
peux tu poster tous les rapports en ta possession
si ca ne passe pas
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Voila le rapport de combofix.
http://www.cijoint.fr/cjlink.php?file=cj201009/cijOnIV0yn.txt
Il dit avoir supprimé autorun et le fichier .exe mais je le vois toujours dans la racine.
https://imageshack.com/
http://www.cijoint.fr/cjlink.php?file=cj201009/cijOnIV0yn.txt
Il dit avoir supprimé autorun et le fichier .exe mais je le vois toujours dans la racine.
https://imageshack.com/
Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok
désactive la restauration systeme et fais le prochain outil internet coupé
? Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
? De retour à la fenêtre principale : choisissez Analyse complète.
? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
? Cliquez Oui pour Tout si un fichier est détecté.
? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
? Fermez Dr.Web CureIt!
? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
désactive la restauration systeme et fais le prochain outil internet coupé
? Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
? De retour à la fenêtre principale : choisissez Analyse complète.
? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
? Cliquez Oui pour Tout si un fichier est détecté.
? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
? Fermez Dr.Web CureIt!
? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Bonjour,
Voila le rapport du drweb (changer l'extension par csv pour avoir le fichier d'origine)
http://www.cijoint.fr/cjlink.php?file=cj201009/cijGNszqyq.txt
Voila le rapport du drweb (changer l'extension par csv pour avoir le fichier d'origine)
http://www.cijoint.fr/cjlink.php?file=cj201009/cijGNszqyq.txt
ok
j'espère que l'on pourra récuperer le pc...
dans un premier temps sauvegarde tes données
Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.
vire aussi tous tes cracks
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
si soucis avec ci joint. fr
=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
j'espère que l'on pourra récuperer le pc...
dans un premier temps sauvegarde tes données
Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.
vire aussi tous tes cracks
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
si soucis avec ci joint. fr
=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
Voila http://www.cijoint.fr/cjlink.php?file=cj201009/cijsdq5bcz.txt
pourquoi le "j'espère que l'on pourra récuperer le pc... ", c'est si grave?
pourquoi le "j'espère que l'on pourra récuperer le pc... ", c'est si grave?
si c'est virut ou une de ses variantes, il est collant et un seul fichier aussi petit soit il réinfecte le tout
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
.......................................
2)
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\hmieo.pif
C:\WINDOWS\System32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
.......................................
2)
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\hmieo.pif
C:\WINDOWS\System32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
Rapport de ZHPfix:
Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-14-07-09.txt
Run by Mohamed at 11/09/2010 14:08:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32 => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
17 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre
End of the scan
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-14-07-09.txt
Run by Mohamed at 11/09/2010 14:08:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32 => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
17 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre
End of the scan
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
pour venir ici tu veux dire ?
.....................
supprime combofix que tu possèdes
puis
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes FUN.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
pour venir ici tu veux dire ?
.....................
supprime combofix que tu possèdes
puis
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes FUN.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Voila le rapport Combofix:
ComboFix 10-09-09.04 - Mohamed 11/09/2010 14:58:15.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.1023.735 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mohamed\Bureau\FUN.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\hmieo.pif
D:\Autorun.inf
D:\bnqo.pif
E:\Autorun.inf
E:\ndog.pif
Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_amsint32
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
.
2010-09-08 14:10 . 2010-09-08 14:57 -------- d-----w- c:\documents and settings\Mohamed\DoctorWeb
2010-09-08 13:42 . 2010-09-11 12:07 -------- d-----w- c:\program files\ZHPDiag
2010-09-08 13:37 . 2010-09-08 13:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-08 13:08 . 2010-09-08 13:08 0 ----a-w- c:\windows\nsreg.dat
2010-09-08 13:08 . 2010-09-08 13:08 -------- d-----w- c:\documents and settings\Mohamed\Local Settings\Application Data\Mozilla
2010-09-08 12:48 . 2005-03-01 11:49 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\ApplicationHistory
2010-09-08 12:48 . 2005-02-08 16:37 64152 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-08 12:48 . 2005-02-08 16:17 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\PowerCinema
2010-09-08 12:48 . 2005-02-08 15:59 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-09-08 12:48 . 2005-01-25 16:00 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Adobe
2010-09-08 12:48 . 2005-01-25 15:25 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150010}
2010-09-08 12:48 . 2005-01-20 18:01 135 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\fusioncache.dat
2010-09-08 12:48 . 2005-01-20 17:52 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-09-08 12:48 . 2005-01-20 17:08 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\WMTools Downloaded Files
2010-09-08 12:46 . 2005-02-08 15:59 -------- d-----w- c:\documents and settings\Default User\WINDOWS
2010-09-08 12:46 . 2005-01-20 17:52 -------- d-s---w- c:\documents and settings\Default User\UserData
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 10:37 . 2005-01-20 16:14 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2010-09-08 13:43 . 2010-09-08 13:43 664 ----a-w- c:\windows\system32\d3d9caps.tmp
2010-09-08 13:11 . 2005-01-20 13:21 61938 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-08 13:11 . 2005-01-20 13:21 440378 ----a-w- c:\windows\system32\perfh00C.dat
2005-01-25 16:24 . 2005-01-25 16:24 8 --sh--r- c:\windows\system32\F2A38CDCBF.sys
2005-01-25 16:24 . 2005-01-25 16:24 5744 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-09-08_13.26.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-25 16:30 . 2001-07-09 09:50 229376 c:\windows\system32\NeroCheck.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 232912 c:\windows\system32\Macromed\Flash\FlashUtil10i_Plugin.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 5969360 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
"Keyboard Status"="c:\progra~1\Medion Tools\KeyStat\KeyStat.exe" [2005-01-25 411648]
"ATIPTA"="c:\program files\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2005-01-12 425984]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 196750]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-8 1187840]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\WINDOWS\\Dit.exe"=
"c:\\PROGRAM FILES\\ATI TECHNOLOGIES\\ATI CONTROL PANEL\\ATIPTAXX.EXE"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\hid2hci.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [13/02/2005 15:02 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [20/01/2005 16:05 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [20/01/2005 18:19 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [20/01/2005 18:14 17408]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - AMSINT32
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.aldi.com/
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\u9k872ek.default\
FF - plugin: c:\program files\Java\jre1.5.0_01\bin\NPJPI150_01.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\gpkcsp.dll
c:\windows\system32\gpkrsrc.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\Dit.exe
c:\windows\AGRSMMSG.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2010-09-11 15:03:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-11 13:03
ComboFix2.txt 2010-09-08 13:28
Avant-CF: 73.131.114.496 octets libres
Après-CF: 73.289.388.032 octets libres
- - End Of File - - D2D30BD7B6BCF7A6D54D3E9E86E6E742
ComboFix 10-09-09.04 - Mohamed 11/09/2010 14:58:15.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.1023.735 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mohamed\Bureau\FUN.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\hmieo.pif
D:\Autorun.inf
D:\bnqo.pif
E:\Autorun.inf
E:\ndog.pif
Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_amsint32
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
.
2010-09-08 14:10 . 2010-09-08 14:57 -------- d-----w- c:\documents and settings\Mohamed\DoctorWeb
2010-09-08 13:42 . 2010-09-11 12:07 -------- d-----w- c:\program files\ZHPDiag
2010-09-08 13:37 . 2010-09-08 13:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-08 13:08 . 2010-09-08 13:08 0 ----a-w- c:\windows\nsreg.dat
2010-09-08 13:08 . 2010-09-08 13:08 -------- d-----w- c:\documents and settings\Mohamed\Local Settings\Application Data\Mozilla
2010-09-08 12:48 . 2005-03-01 11:49 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\ApplicationHistory
2010-09-08 12:48 . 2005-02-08 16:37 64152 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-08 12:48 . 2005-02-08 16:17 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\PowerCinema
2010-09-08 12:48 . 2005-02-08 15:59 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-09-08 12:48 . 2005-01-25 16:00 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Adobe
2010-09-08 12:48 . 2005-01-25 15:25 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150010}
2010-09-08 12:48 . 2005-01-20 18:01 135 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\fusioncache.dat
2010-09-08 12:48 . 2005-01-20 17:52 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-09-08 12:48 . 2005-01-20 17:08 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\WMTools Downloaded Files
2010-09-08 12:46 . 2005-02-08 15:59 -------- d-----w- c:\documents and settings\Default User\WINDOWS
2010-09-08 12:46 . 2005-01-20 17:52 -------- d-s---w- c:\documents and settings\Default User\UserData
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 10:37 . 2005-01-20 16:14 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2010-09-08 13:43 . 2010-09-08 13:43 664 ----a-w- c:\windows\system32\d3d9caps.tmp
2010-09-08 13:11 . 2005-01-20 13:21 61938 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-08 13:11 . 2005-01-20 13:21 440378 ----a-w- c:\windows\system32\perfh00C.dat
2005-01-25 16:24 . 2005-01-25 16:24 8 --sh--r- c:\windows\system32\F2A38CDCBF.sys
2005-01-25 16:24 . 2005-01-25 16:24 5744 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-09-08_13.26.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-25 16:30 . 2001-07-09 09:50 229376 c:\windows\system32\NeroCheck.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 232912 c:\windows\system32\Macromed\Flash\FlashUtil10i_Plugin.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 5969360 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
"Keyboard Status"="c:\progra~1\Medion Tools\KeyStat\KeyStat.exe" [2005-01-25 411648]
"ATIPTA"="c:\program files\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2005-01-12 425984]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 196750]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-8 1187840]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\WINDOWS\\Dit.exe"=
"c:\\PROGRAM FILES\\ATI TECHNOLOGIES\\ATI CONTROL PANEL\\ATIPTAXX.EXE"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\hid2hci.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [13/02/2005 15:02 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [20/01/2005 16:05 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [20/01/2005 18:19 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [20/01/2005 18:14 17408]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - AMSINT32
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.aldi.com/
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\u9k872ek.default\
FF - plugin: c:\program files\Java\jre1.5.0_01\bin\NPJPI150_01.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\gpkcsp.dll
c:\windows\system32\gpkrsrc.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\Dit.exe
c:\windows\AGRSMMSG.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2010-09-11 15:03:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-11 13:03
ComboFix2.txt 2010-09-08 13:28
Avant-CF: 73.131.114.496 octets libres
Après-CF: 73.289.388.032 octets libres
- - End Of File - - D2D30BD7B6BCF7A6D54D3E9E86E6E742
on va retester VT
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\F2A38CDCBF.sys
c:\windows\system32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\F2A38CDCBF.sys
c:\windows\system32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
bon
on va tenter de traiter le pc avant le démarrage de windows
à partir d'un autre pc si possible télécharges et graves ceci sur un cd
(gravure d'un iso ou d'une image)
https://free.drweb.com/aid_admin/
redemarrer le pc en mettant le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)
suivre ensuite les indications de l'outil
aide toi de ce lien
http://jal.cyber-nux.fr/?p=123
on va tenter de traiter le pc avant le démarrage de windows
à partir d'un autre pc si possible télécharges et graves ceci sur un cd
(gravure d'un iso ou d'une image)
https://free.drweb.com/aid_admin/
redemarrer le pc en mettant le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)
suivre ensuite les indications de l'outil
aide toi de ce lien
http://jal.cyber-nux.fr/?p=123
Je pense que le virus a disparu car j'ai remis la modification du registre et le gestionnaire des taches et il ne les a pas enlever.
Peut tu me le confirmer? (j'ai fait des diagnostic avec Combofix et HJT)
Rapport Combofix :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijIIuRrOy.txt
Rapport Hijackthis :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijmSlu14w.txt
Voila un screen de C:\, apparemment le autorun.inf et le .exe ont disparu
https://imageshack.com/
Merci.
Peut tu me le confirmer? (j'ai fait des diagnostic avec Combofix et HJT)
Rapport Combofix :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijIIuRrOy.txt
Rapport Hijackthis :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijmSlu14w.txt
Voila un screen de C:\, apparemment le autorun.inf et le .exe ont disparu
https://imageshack.com/
Merci.
ok
on va voir si c'est bon
1)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
.......................................
2)
et là c'est le plus intéressant
fais un scan en ligne si tu le peux
Eset (Nod32) en ligne
https://www.eset.com/
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
on va voir si c'est bon
1)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
.......................................
2)
et là c'est le plus intéressant
fais un scan en ligne si tu le peux
Eset (Nod32) en ligne
https://www.eset.com/
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
