Virus extremement coriace
Résolu/Fermé
A voir également:
- Virus extremement coriace
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Pc extrêmement lent - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone - Forum iPhone
27 réponses
cHOCho49
Messages postés
1079
Date d'inscription
lundi 24 mars 2008
Statut
Membre
Dernière intervention
10 août 2022
169
8 sept. 2010 à 14:07
8 sept. 2010 à 14:07
Tu devrait essayer de vider ta memoire systeme, le petit gaillard y est surement planqué, tu as divers processus sur le net si tu veut t'aider
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 8/09/2010 à 14:13
Modifié par moment de grace le 8/09/2010 à 14:13
bonjour
ca sent pas bon ton affaire selon la description que tu en fais
peux tu poster tous les rapports en ta possession
si ca ne passe pas
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
ca sent pas bon ton affaire selon la description que tu en fais
peux tu poster tous les rapports en ta possession
si ca ne passe pas
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Voila le rapport de combofix.
http://www.cijoint.fr/cjlink.php?file=cj201009/cijOnIV0yn.txt
Il dit avoir supprimé autorun et le fichier .exe mais je le vois toujours dans la racine.
https://imageshack.com/
http://www.cijoint.fr/cjlink.php?file=cj201009/cijOnIV0yn.txt
Il dit avoir supprimé autorun et le fichier .exe mais je le vois toujours dans la racine.
https://imageshack.com/
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
8 sept. 2010 à 14:31
8 sept. 2010 à 14:31
Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 8/09/2010 à 14:49
Modifié par moment de grace le 8/09/2010 à 14:49
ok
désactive la restauration systeme et fais le prochain outil internet coupé
? Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
? De retour à la fenêtre principale : choisissez Analyse complète.
? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
? Cliquez Oui pour Tout si un fichier est détecté.
? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
? Fermez Dr.Web CureIt!
? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
désactive la restauration systeme et fais le prochain outil internet coupé
? Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
? De retour à la fenêtre principale : choisissez Analyse complète.
? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
? Cliquez Oui pour Tout si un fichier est détecté.
? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
? Fermez Dr.Web CureIt!
? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
CONTRIBUTEUR SECURITE
Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Je posterai le resultat surement demain car il prend du temps.
Merci de votre aide.
Merci de votre aide.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
8 sept. 2010 à 18:15
8 sept. 2010 à 18:15
oui il est long celui là..
@+
@+
Bonjour,
Voila le rapport du drweb (changer l'extension par csv pour avoir le fichier d'origine)
http://www.cijoint.fr/cjlink.php?file=cj201009/cijGNszqyq.txt
Voila le rapport du drweb (changer l'extension par csv pour avoir le fichier d'origine)
http://www.cijoint.fr/cjlink.php?file=cj201009/cijGNszqyq.txt
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 11:40
11 sept. 2010 à 11:40
ok
j'espère que l'on pourra récuperer le pc...
dans un premier temps sauvegarde tes données
Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.
vire aussi tous tes cracks
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
si soucis avec ci joint. fr
=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
j'espère que l'on pourra récuperer le pc...
dans un premier temps sauvegarde tes données
Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.
vire aussi tous tes cracks
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
si soucis avec ci joint. fr
=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
Voila http://www.cijoint.fr/cjlink.php?file=cj201009/cijsdq5bcz.txt
pourquoi le "j'espère que l'on pourra récuperer le pc... ", c'est si grave?
pourquoi le "j'espère que l'on pourra récuperer le pc... ", c'est si grave?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 13:29
11 sept. 2010 à 13:29
si c'est virut ou une de ses variantes, il est collant et un seul fichier aussi petit soit il réinfecte le tout
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
.......................................
2)
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\hmieo.pif
C:\WINDOWS\System32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
.......................................
2)
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\hmieo.pif
C:\WINDOWS\System32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
Rapport de ZHPfix:
Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-14-07-09.txt
Run by Mohamed at 11/09/2010 14:08:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32 => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
17 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre
End of the scan
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-14-07-09.txt
Run by Mohamed at 11/09/2010 14:08:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32 => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
17 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre
End of the scan
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 14:26
11 sept. 2010 à 14:26
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
pour venir ici tu veux dire ?
.....................
supprime combofix que tu possèdes
puis
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes FUN.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
pour venir ici tu veux dire ?
.....................
supprime combofix que tu possèdes
puis
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes FUN.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 14:39
11 sept. 2010 à 14:39
ah oui j'avais oublié pardon
fais combofix
on y reviendra
fais combofix
on y reviendra
Voila le rapport Combofix:
ComboFix 10-09-09.04 - Mohamed 11/09/2010 14:58:15.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.1023.735 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mohamed\Bureau\FUN.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\hmieo.pif
D:\Autorun.inf
D:\bnqo.pif
E:\Autorun.inf
E:\ndog.pif
Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_amsint32
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
.
2010-09-08 14:10 . 2010-09-08 14:57 -------- d-----w- c:\documents and settings\Mohamed\DoctorWeb
2010-09-08 13:42 . 2010-09-11 12:07 -------- d-----w- c:\program files\ZHPDiag
2010-09-08 13:37 . 2010-09-08 13:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-08 13:08 . 2010-09-08 13:08 0 ----a-w- c:\windows\nsreg.dat
2010-09-08 13:08 . 2010-09-08 13:08 -------- d-----w- c:\documents and settings\Mohamed\Local Settings\Application Data\Mozilla
2010-09-08 12:48 . 2005-03-01 11:49 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\ApplicationHistory
2010-09-08 12:48 . 2005-02-08 16:37 64152 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-08 12:48 . 2005-02-08 16:17 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\PowerCinema
2010-09-08 12:48 . 2005-02-08 15:59 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-09-08 12:48 . 2005-01-25 16:00 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Adobe
2010-09-08 12:48 . 2005-01-25 15:25 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150010}
2010-09-08 12:48 . 2005-01-20 18:01 135 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\fusioncache.dat
2010-09-08 12:48 . 2005-01-20 17:52 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-09-08 12:48 . 2005-01-20 17:08 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\WMTools Downloaded Files
2010-09-08 12:46 . 2005-02-08 15:59 -------- d-----w- c:\documents and settings\Default User\WINDOWS
2010-09-08 12:46 . 2005-01-20 17:52 -------- d-s---w- c:\documents and settings\Default User\UserData
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 10:37 . 2005-01-20 16:14 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2010-09-08 13:43 . 2010-09-08 13:43 664 ----a-w- c:\windows\system32\d3d9caps.tmp
2010-09-08 13:11 . 2005-01-20 13:21 61938 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-08 13:11 . 2005-01-20 13:21 440378 ----a-w- c:\windows\system32\perfh00C.dat
2005-01-25 16:24 . 2005-01-25 16:24 8 --sh--r- c:\windows\system32\F2A38CDCBF.sys
2005-01-25 16:24 . 2005-01-25 16:24 5744 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-09-08_13.26.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-25 16:30 . 2001-07-09 09:50 229376 c:\windows\system32\NeroCheck.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 232912 c:\windows\system32\Macromed\Flash\FlashUtil10i_Plugin.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 5969360 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
"Keyboard Status"="c:\progra~1\Medion Tools\KeyStat\KeyStat.exe" [2005-01-25 411648]
"ATIPTA"="c:\program files\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2005-01-12 425984]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 196750]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-8 1187840]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\WINDOWS\\Dit.exe"=
"c:\\PROGRAM FILES\\ATI TECHNOLOGIES\\ATI CONTROL PANEL\\ATIPTAXX.EXE"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\hid2hci.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [13/02/2005 15:02 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [20/01/2005 16:05 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [20/01/2005 18:19 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [20/01/2005 18:14 17408]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - AMSINT32
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.aldi.com/
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\u9k872ek.default\
FF - plugin: c:\program files\Java\jre1.5.0_01\bin\NPJPI150_01.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\gpkcsp.dll
c:\windows\system32\gpkrsrc.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\Dit.exe
c:\windows\AGRSMMSG.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2010-09-11 15:03:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-11 13:03
ComboFix2.txt 2010-09-08 13:28
Avant-CF: 73.131.114.496 octets libres
Après-CF: 73.289.388.032 octets libres
- - End Of File - - D2D30BD7B6BCF7A6D54D3E9E86E6E742
ComboFix 10-09-09.04 - Mohamed 11/09/2010 14:58:15.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.1023.735 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mohamed\Bureau\FUN.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\hmieo.pif
D:\Autorun.inf
D:\bnqo.pif
E:\Autorun.inf
E:\ndog.pif
Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_amsint32
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
.
2010-09-08 14:10 . 2010-09-08 14:57 -------- d-----w- c:\documents and settings\Mohamed\DoctorWeb
2010-09-08 13:42 . 2010-09-11 12:07 -------- d-----w- c:\program files\ZHPDiag
2010-09-08 13:37 . 2010-09-08 13:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-08 13:08 . 2010-09-08 13:08 0 ----a-w- c:\windows\nsreg.dat
2010-09-08 13:08 . 2010-09-08 13:08 -------- d-----w- c:\documents and settings\Mohamed\Local Settings\Application Data\Mozilla
2010-09-08 12:48 . 2005-03-01 11:49 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\ApplicationHistory
2010-09-08 12:48 . 2005-02-08 16:37 64152 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-08 12:48 . 2005-02-08 16:17 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\PowerCinema
2010-09-08 12:48 . 2005-02-08 15:59 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-09-08 12:48 . 2005-01-25 16:00 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Adobe
2010-09-08 12:48 . 2005-01-25 15:25 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150010}
2010-09-08 12:48 . 2005-01-20 18:01 135 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\fusioncache.dat
2010-09-08 12:48 . 2005-01-20 17:52 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-09-08 12:48 . 2005-01-20 17:08 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\WMTools Downloaded Files
2010-09-08 12:46 . 2005-02-08 15:59 -------- d-----w- c:\documents and settings\Default User\WINDOWS
2010-09-08 12:46 . 2005-01-20 17:52 -------- d-s---w- c:\documents and settings\Default User\UserData
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 10:37 . 2005-01-20 16:14 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2010-09-08 13:43 . 2010-09-08 13:43 664 ----a-w- c:\windows\system32\d3d9caps.tmp
2010-09-08 13:11 . 2005-01-20 13:21 61938 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-08 13:11 . 2005-01-20 13:21 440378 ----a-w- c:\windows\system32\perfh00C.dat
2005-01-25 16:24 . 2005-01-25 16:24 8 --sh--r- c:\windows\system32\F2A38CDCBF.sys
2005-01-25 16:24 . 2005-01-25 16:24 5744 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-09-08_13.26.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-25 16:30 . 2001-07-09 09:50 229376 c:\windows\system32\NeroCheck.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 232912 c:\windows\system32\Macromed\Flash\FlashUtil10i_Plugin.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 5969360 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
"Keyboard Status"="c:\progra~1\Medion Tools\KeyStat\KeyStat.exe" [2005-01-25 411648]
"ATIPTA"="c:\program files\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2005-01-12 425984]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 196750]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-8 1187840]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\WINDOWS\\Dit.exe"=
"c:\\PROGRAM FILES\\ATI TECHNOLOGIES\\ATI CONTROL PANEL\\ATIPTAXX.EXE"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\hid2hci.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [13/02/2005 15:02 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [20/01/2005 16:05 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [20/01/2005 18:19 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [20/01/2005 18:14 17408]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - AMSINT32
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.aldi.com/
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\u9k872ek.default\
FF - plugin: c:\program files\Java\jre1.5.0_01\bin\NPJPI150_01.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\gpkcsp.dll
c:\windows\system32\gpkrsrc.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\Dit.exe
c:\windows\AGRSMMSG.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2010-09-11 15:03:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-11 13:03
ComboFix2.txt 2010-09-08 13:28
Avant-CF: 73.131.114.496 octets libres
Après-CF: 73.289.388.032 octets libres
- - End Of File - - D2D30BD7B6BCF7A6D54D3E9E86E6E742
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 16:25
11 sept. 2010 à 16:25
on va retester VT
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\F2A38CDCBF.sys
c:\windows\system32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\F2A38CDCBF.sys
c:\windows\system32\d3d9caps.tmp
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 17:07
11 sept. 2010 à 17:07
bon
on va tenter de traiter le pc avant le démarrage de windows
à partir d'un autre pc si possible télécharges et graves ceci sur un cd
(gravure d'un iso ou d'une image)
https://free.drweb.com/aid_admin/
redemarrer le pc en mettant le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)
suivre ensuite les indications de l'outil
aide toi de ce lien
http://jal.cyber-nux.fr/?p=123
on va tenter de traiter le pc avant le démarrage de windows
à partir d'un autre pc si possible télécharges et graves ceci sur un cd
(gravure d'un iso ou d'une image)
https://free.drweb.com/aid_admin/
redemarrer le pc en mettant le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)
suivre ensuite les indications de l'outil
aide toi de ce lien
http://jal.cyber-nux.fr/?p=123
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
11 sept. 2010 à 17:16
11 sept. 2010 à 17:16
probablement long
Voila, il a fini et j'ai supprimé toutes les infections.
Je continuerai demain.
Merci
Je continuerai demain.
Merci
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
12 sept. 2010 à 07:38
12 sept. 2010 à 07:38
j'ai supprimé toutes les infections.
as tu vu le ou les noms des infections ?
as tu vu le ou les noms des infections ?
Je pense que le virus a disparu car j'ai remis la modification du registre et le gestionnaire des taches et il ne les a pas enlever.
Peut tu me le confirmer? (j'ai fait des diagnostic avec Combofix et HJT)
Rapport Combofix :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijIIuRrOy.txt
Rapport Hijackthis :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijmSlu14w.txt
Voila un screen de C:\, apparemment le autorun.inf et le .exe ont disparu
https://imageshack.com/
Merci.
Peut tu me le confirmer? (j'ai fait des diagnostic avec Combofix et HJT)
Rapport Combofix :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijIIuRrOy.txt
Rapport Hijackthis :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijmSlu14w.txt
Voila un screen de C:\, apparemment le autorun.inf et le .exe ont disparu
https://imageshack.com/
Merci.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
12 sept. 2010 à 14:12
12 sept. 2010 à 14:12
ok
on va voir si c'est bon
1)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
.......................................
2)
et là c'est le plus intéressant
fais un scan en ligne si tu le peux
Eset (Nod32) en ligne
https://www.eset.com/
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
on va voir si c'est bon
1)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
.......................................
2)
et là c'est le plus intéressant
fais un scan en ligne si tu le peux
Eset (Nod32) en ligne
https://www.eset.com/
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
12 sept. 2010 à 14:26
12 sept. 2010 à 14:26
http://www.commentcamarche.net/faq/16138-comment-supprimer-virut
