Att Karel7: Méga problèmes de virus !Résolu/Fermé

Question

Bonjour,  



Je reviens sur ce forum car depuis quelques jours, j'ai d'énormes problèmes de virus ! Malgré les scan d'Antivir et les "restauration système" quotidiennes, le probléme est récurent et de + en + virulent ! 

Voici les rapports récents de mon antivirus: 

1er rapport: 

Avira AntiVir Personal 
Date de création du fichier de rapport : jeudi 16 septembre 2010  18:17 

La recherche porte sur 2849557 souches de virus. 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus 
Numéro de série         : 0000149996-ADJIE-0000001 
Plateforme              : Windows XP 
Version de Windows      : (Service Pack 3)  [5.1.2600] 
Mode Boot               : Démarré normalement 
Identifiant             : SYSTEM 
Nom de l'ordinateur     : SMOKY 

Informations de version : 
BUILD.DAT               : 9.0.0.77      21698 Bytes  09/06/2010 12:01:00 
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  24/11/2009 22:17:43 
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02 
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11 
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31 
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 22:17:42 
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 22:17:42 
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 16:58:20 
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 17:59:37 
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 17:19:01 
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 21:29:42 
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 15:35:57 
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 22:22:12 
VBASE008.VDF            : 7.10.11.133   3454464 Bytes  13/09/2010 15:46:58 
VBASE009.VDF            : 7.10.11.134      2048 Bytes  13/09/2010 15:46:58 
VBASE010.VDF            : 7.10.11.135      2048 Bytes  13/09/2010 15:46:58 
VBASE011.VDF            : 7.10.11.136      2048 Bytes  13/09/2010 15:46:58 
VBASE012.VDF            : 7.10.11.137      2048 Bytes  13/09/2010 15:46:58 
VBASE013.VDF            : 7.10.11.165    172032 Bytes  15/09/2010 15:46:59 
VBASE014.VDF            : 7.10.11.166      2048 Bytes  15/09/2010 15:46:59 
VBASE015.VDF            : 7.10.11.167      2048 Bytes  15/09/2010 15:46:59 
VBASE016.VDF            : 7.10.11.168      2048 Bytes  15/09/2010 15:46:59 
VBASE017.VDF            : 7.10.11.169      2048 Bytes  15/09/2010 15:46:59 
VBASE018.VDF            : 7.10.11.170      2048 Bytes  15/09/2010 15:46:59 
VBASE019.VDF            : 7.10.11.171      2048 Bytes  15/09/2010 15:47:00 
VBASE020.VDF            : 7.10.11.172      2048 Bytes  15/09/2010 15:47:00 
VBASE021.VDF            : 7.10.11.173      2048 Bytes  15/09/2010 15:47:00 
VBASE022.VDF            : 7.10.11.174      2048 Bytes  15/09/2010 15:47:00 
VBASE023.VDF            : 7.10.11.175      2048 Bytes  15/09/2010 15:47:00 
VBASE024.VDF            : 7.10.11.176      2048 Bytes  15/09/2010 15:47:00 
VBASE025.VDF            : 7.10.11.177      2048 Bytes  15/09/2010 15:47:00 
VBASE026.VDF            : 7.10.11.178      2048 Bytes  15/09/2010 15:47:01 
VBASE027.VDF            : 7.10.11.179      2048 Bytes  15/09/2010 15:47:01 
VBASE028.VDF            : 7.10.11.180      2048 Bytes  15/09/2010 15:47:01 
VBASE029.VDF            : 7.10.11.181      2048 Bytes  15/09/2010 15:47:01 
VBASE030.VDF            : 7.10.11.182      2048 Bytes  15/09/2010 15:47:01 
VBASE031.VDF            : 7.10.11.195     86016 Bytes  16/09/2010 15:47:01 
Version du moteur       : 8.2.4.52  
AEVDF.DLL               : 8.1.2.1      106868 Bytes  29/07/2010 22:01:14 
AESCRIPT.DLL            : 8.1.3.44    1364346 Bytes  06/09/2010 04:58:14 
AESCN.DLL               : 8.1.6.1      127347 Bytes  12/05/2010 21:26:21 
AESBX.DLL               : 8.1.3.1      254324 Bytes  23/04/2010 21:25:37 
AERDL.DLL               : 8.1.8.2      614772 Bytes  20/07/2010 21:15:17 
AEPACK.DLL              : 8.2.3.5      471412 Bytes  07/08/2010 16:27:30 
AEOFFICE.DLL            : 8.1.1.8      201081 Bytes  22/07/2010 15:23:47 
AEHEUR.DLL              : 8.1.2.21    2883958 Bytes  06/09/2010 04:58:13 
AEHELP.DLL              : 8.1.13.3     242038 Bytes  06/09/2010 04:58:10 
AEGEN.DLL               : 8.1.3.21     401780 Bytes  16/09/2010 15:47:03 
AEEMU.DLL               : 8.1.2.0      393588 Bytes  23/04/2010 21:25:36 
AECORE.DLL              : 8.1.16.2     192887 Bytes  20/07/2010 21:15:10 
AEBB.DLL                : 8.1.1.0       53618 Bytes  23/04/2010 21:25:35 
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30 
AVPREF.DLL              : 9.0.3.0       44289 Bytes  24/11/2009 22:17:43 
AVREP.DLL               : 8.0.0.7      159784 Bytes  18/02/2010 16:48:38 
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42 
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22 
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37 
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49 
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57 
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59 
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  24/11/2009 22:17:40 
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  24/11/2009 22:17:40 

Configuration pour la recherche actuelle : 
Nom de la tâche...............................: Contrôle intégral du système 
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp 
Documentation.................................: bas 
Action principale.............................: interactif 
Action secondaire.............................: ignorer 
Recherche sur les secteurs d'amorçage maître..: marche 
Recherche sur les secteurs d'amorçage.........: marche 
Secteurs d'amorçage...........................: C:,  
Recherche dans les programmes actifs..........: marche 
Recherche en cours sur l'enregistrement.......: marche 
Recherche de Rootkits.........................: marche 
Contrôle d'intégrité de fichiers système......: arrêt 
Fichier mode de recherche.....................: Tous les fichiers 
Recherche sur les archives....................: marche 
Limiter la profondeur de récursivité..........: 20 
Archive Smart Extensions......................: marche 
Heuristique de macrovirus.....................: marche 
Heuristique fichier...........................: moyen 
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, 

Début de la recherche : jeudi 16 septembre 2010  18:17 

La recherche d'objets cachés commence. 
'83489' objets ont été contrôlés, '0' objets cachés ont été trouvés. 

La recherche sur les processus démarrés commence : 
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'mpbtn.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'lanceur.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svcnost.exe' - '1' module(s) sont contrôlés 
  Module infecté -> 'C:\Documents and Settings\Laeti\Application Data\download2\svcnost.exe' 
Processus de recherche 'realplay.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'Bandoo.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'USBDeviceService.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'antispy.exe' - '1' module(s) sont contrôlés 
  Module infecté -> 'C:\Documents and Settings\Laeti\Application Data\antispy.exe' 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'pg_ctl.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés 
Le processus 'svcnost.exe' est arrêté 
Le processus 'antispy.exe' est arrêté 
C:\Documents and Settings\Laeti\Application Data\download2\svcnost.exe 
    [RESULTAT]  Contient le cheval de Troie TR/Spy.65546 
    [REMARQUE]  Fichier supprimé. 
C:\Documents and Settings\Laeti\Application Data\antispy.exe 
    [RESULTAT]  Contient le cheval de Troie TR/FakeAV.lel.3 
    [REMARQUE]  Fichier supprimé. 

'51' processus ont été contrôlés avec '49' modules 

La recherche sur les secteurs d'amorçage maître commence : 
Secteur d'amorçage maître HD0 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD1 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD2 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD3 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD4 
    [INFO]      Aucun virus trouvé ! 

La recherche sur les secteurs d'amorçage commence : 
Secteur d'amorçage 'C:\' 
    [INFO]      Aucun virus trouvé ! 

La recherche sur les renvois aux fichiers exécutables (registre) commence : 

Le registre a été contrôlé ( '66' fichiers). 


La recherche sur les fichiers sélectionnés commence : 

Recherche débutant dans 'C:\' 
C:\hiberfil.sys 
    [AVERTISSEMENT] Impossible d'ouvrir le fichier ! 
    [REMARQUE]  Ce fichier est un fichier système Windows. 
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. 
C:\pagefile.sys 
    [AVERTISSEMENT] Impossible d'ouvrir le fichier ! 
    [REMARQUE]  Ce fichier est un fichier système Windows. 
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. 
C:\Documents and Settings\Laeti\Local Settings	emp\4352010.exe 
    [RESULTAT]  Contient le cheval de Troie TR/FakeAV.lel.3 
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153071.exe 
    [RESULTAT]  Contient le cheval de Troie TR/Spy.65546 
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153072.exe 
    [RESULTAT]  Contient le cheval de Troie TR/FakeAV.lel.3 
C:\WINDOWS\Temp\Acr10C.tmp 
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.15344 
C:\WINDOWS\Temp\Acr1A.tmp 
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.15344 
C:\WINDOWS\Temp\Acr31.tmp 
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.15344 
C:\WINDOWS\Temp\JMEd.exe 
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen2 

Début de la désinfection : 
C:\Documents and Settings\Laeti\Local Settings	emp\4352010.exe 
    [RESULTAT]  Contient le cheval de Troie TR/FakeAV.lel.3 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc756fa.qua' ! 
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153071.exe 
    [RESULTAT]  Contient le cheval de Troie TR/Spy.65546 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc356f8.qua' ! 
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153072.exe 
    [RESULTAT]  Contient le cheval de Troie TR/FakeAV.lel.3 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d62aa71.qua' ! 
C:\WINDOWS\Temp\Acr10C.tmp 
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.15344 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d04572b.qua' ! 
C:\WINDOWS\Temp\Acr1A.tmp 
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.15344 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c9bbbd4.qua' ! 
C:\WINDOWS\Temp\Acr31.tmp 
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.15344 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ca4a3ec.qua' ! 
C:\WINDOWS\Temp\JMEd.exe 
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen2 
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cd75715.qua' ! 


Fin de la recherche : jeudi 16 septembre 2010  19:41 
Temps nécessaire:  1:22:17 Heure(s) 

La recherche a été effectuée intégralement 

  17320 Les répertoires ont été contrôlés 
 545110 Des fichiers ont été contrôlés 
     11 Des virus ou programmes indésirables ont été trouvés 
      0 Des fichiers ont été classés comme suspects 
      2 Des fichiers ont été supprimés 
      0 Des virus ou programmes indésirables ont été réparés 
      7 Les fichiers ont été déplacés dans la quarantaine 
      0 Les fichiers ont été renommés 
      2 Impossible de contrôler des fichiers 
 545097 Fichiers non infectés 
   8758 Les archives ont été contrôlées 
      2 Avertissements 
     11 Consignes 
  83489 Des objets ont été contrôlés lors du Rootkitscan 
      0 Des objets cachés ont été trouvés 





2eme rapport: 

Avira AntiVir Personal 
Date de création du fichier de rapport : samedi 25 septembre 2010  14:01 

La recherche porte sur 2874959 souches de virus. 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus 
Numéro de série         : 0000149996-ADJIE-0000001 
Plateforme              : Windows XP 
Version de Windows      : (Service Pack 3)  [5.1.2600] 
Mode Boot               : Démarré normalement 
Identifiant             : SYSTEM 
Nom de l'ordinateur     : SMOKY 

Informations de version : 
BUILD.DAT               : 9.0.0.77      21698 Bytes  09/06/2010 12:01:00 
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  24/11/2009 22:17:43 
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02 
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11 
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31 
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 22:17:42 
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 22:17:42 
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 16:58:20 
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 17:59:37 
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 17:19:01 
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 21:29:42 
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 15:35:57 
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 22:22:12 
VBASE008.VDF            : 7.10.11.133   3454464 Bytes  13/09/2010 15:46:58 
VBASE009.VDF            : 7.10.11.134      2048 Bytes  13/09/2010 15:46:58 
VBASE010.VDF            : 7.10.11.135      2048 Bytes  13/09/2010 15:46:58 
VBASE011.VDF            : 7.10.11.136      2048 Bytes  13/09/2010 15:46:58 
VBASE012.VDF            : 7.10.11.137      2048 Bytes  13/09/2010 15:46:58 
VBASE013.VDF            : 7.10.11.165    172032 Bytes  15/09/2010 15:46:59 
VBASE014.VDF            : 7.10.11.202    144384 Bytes  18/09/2010 16:06:45 
VBASE015.VDF            : 7.10.11.231    129024 Bytes  21/09/2010 04:22:14 
VBASE016.VDF            : 7.10.12.4    126464 Bytes  23/09/2010 15:39:49 
VBASE017.VDF            : 7.10.12.5      2048 Bytes  23/09/2010 15:39:50 
VBASE018.VDF            : 7.10.12.6      2048 Bytes  23/09/2010 15:39:50 
VBASE019.VDF            : 7.10.12.7      2048 Bytes  23/09/2010 15:39:50 
VBASE020.VDF            : 7.10.12.8      2048 Bytes  23/09/2010 15:39:50 
VBASE021.VDF            : 7.10.12.9      2048 Bytes  23/09/2010 15:39:50 
VBASE022.VDF            : 7.10.12.10      2048 Bytes  23/09/2010 15:39:50 
VBASE023.VDF            : 7.10.12.11      2048 Bytes  23/09/2010 15:39:50 
VBASE024.VDF            : 7.10.12.12      2048 Bytes  23/09/2010 15:39:50 
VBASE025.VDF            : 7.10.12.13      2048 Bytes  23/09/2010 15:39:50 
VBASE026.VDF            : 7.10.12.14      2048 Bytes  23/09/2010 15:39:50 
VBASE027.VDF            : 7.10.12.15      2048 Bytes  23/09/2010 15:39:50 
VBASE028.VDF            : 7.10.12.16      2048 Bytes  23/09/2010 15:39:50 
VBASE029.VDF            : 7.10.12.17      2048 Bytes  23/09/2010 15:39:51 
VBASE030.VDF            : 7.10.12.18      2048 Bytes  23/09/2010 15:39:51 
VBASE031.VDF            : 7.10.12.30     73728 Bytes  24/09/2010 16:28:02 
Version du moteur       : 8.2.4.66  
AEVDF.DLL               : 8.1.2.1      106868 Bytes  29/07/2010 22:01:14 
AESCRIPT.DLL            : 8.1.3.45    1368443 Bytes  17/09/2010 16:13:01 
AESCN.DLL               : 8.1.6.1      127347 Bytes  12/05/2010 21:26:21 
AESBX.DLL               : 8.1.3.1      254324 Bytes  23/04/2010 21:25:37 
AERDL.DLL               : 8.1.9.2      635252 Bytes  22/09/2010 04:22:16 
AEPACK.DLL              : 8.2.3.7      471413 Bytes  17/09/2010 16:12:22 
AEOFFICE.DLL            : 8.1.1.8      201081 Bytes  22/07/2010 15:23:47 
AEHEUR.DLL              : 8.1.2.27    2933110 Bytes  24/09/2010 16:28:06 
AEHELP.DLL              : 8.1.13.4     242038 Bytes  24/09/2010 16:28:03 
AEGEN.DLL               : 8.1.3.22     401780 Bytes  17/09/2010 16:11:17 
AEEMU.DLL               : 8.1.2.0      393588 Bytes  23/04/2010 21:25:36 
AECORE.DLL              : 8.1.17.0     196982 Bytes  24/09/2010 16:28:02 
AEBB.DLL                : 8.1.1.0       53618 Bytes  23/04/2010 21:25:35 
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30 
AVPREF.DLL              : 9.0.3.0       44289 Bytes  24/11/2009 22:17:43 
AVREP.DLL               : 8.0.0.7      159784 Bytes  18/02/2010 16:48:38 
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42 
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22 
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37 
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49 
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57 
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59 
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  24/11/2009 22:17:40 
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  24/11/2009 22:17:40 

Configuration pour la recherche actuelle : 
Nom de la tâche...............................: Contrôle intégral du système 
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp 
Documentation.................................: bas 
Action principale.............................: interactif 
Action secondaire.............................: ignorer 
Recherche sur les secteurs d'amorçage maître..: marche 
Recherche sur les secteurs d'amorçage.........: marche 
Secteurs d'amorçage...........................: C:,  
Recherche dans les programmes actifs..........: marche 
Recherche en cours sur l'enregistrement.......: marche 
Recherche de Rootkits.........................: marche 
Contrôle d'intégrité de fichiers système......: arrêt 
Fichier mode de recherche.....................: Tous les fichiers 
Recherche sur les archives....................: marche 
Limiter la profondeur de récursivité..........: 20 
Archive Smart Extensions......................: marche 
Heuristique de macrovirus.....................: marche 
Heuristique fichier...........................: moyen 
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, 

Début de la recherche : samedi 25 septembre 2010  14:01 

La recherche d'objets cachés commence. 
'83621' objets ont été contrôlés, '0' objets cachés ont été trouvés. 

La recherche sur les processus démarrés commence : 
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'mpbtn.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'lanceur.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'hotfix.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'Bandoo.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'USBDeviceService.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'pg_ctl.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés 
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés 
'44' processus ont été contrôlés avec '44' modules 

La recherche sur les secteurs d'amorçage maître commence : 
Secteur d'amorçage maître HD0 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD1 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD2 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD3 
    [INFO]      Aucun virus trouvé ! 
Secteur d'amorçage maître HD4 
    [INFO]      Aucun virus trouvé ! 

La recherche sur les secteurs d'amorçage commence : 
Secteur d'amorçage 'C:\' 
    [INFO]      Aucun virus trouvé ! 

La recherche sur les renvois aux fichiers exécutables (registre) commence : 
Le registre a été contrôlé ( '66' fichiers). 


La recherche sur les fichiers sélectionnés commence : 

Recherche débutant dans 'C:\' 
C:\hiberfil.sys 
    [AVERTISSEMENT] Impossible d'ouvrir le fichier ! 
    [REMARQUE]  Ce fichier est un fichier système Windows. 
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. 
C:\pagefile.sys 
    [AVERTISSEMENT] Impossible d'ouvrir le fichier ! 
    [REMARQUE]  Ce fichier est un fichier système Windows. 
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. 
C:\WINDOWS\$NtUninstallKB913800$\wmplayer.exe 
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen3 
    [AVERTISSEMENT] 'Contient le cheval de Troie TR/Crypt.XPACK.Gen3'. Le résultat concerne très probablement un message d'erreur. Veuillez nous renvoyer immédiatement ce fichier pour une analyse plus détaillée. 


Fin de la recherche : samedi 25 septembre 2010  15:22 
Temps nécessaire:  1:20:21 Heure(s) 

La recherche a été effectuée intégralement 

  17352 Les répertoires ont été contrôlés 
 545581 Des fichiers ont été contrôlés 
      1 Des virus ou programmes indésirables ont été trouvés 
      0 Des fichiers ont été classés comme suspects 
      0 Des fichiers ont été supprimés 
      0 Des virus ou programmes indésirables ont été réparés 
      0 Les fichiers ont été déplacés dans la quarantaine 
      0 Les fichiers ont été renommés 
      2 Impossible de contrôler des fichiers 
 545578 Fichiers non infectés 
   8749 Les archives ont été contrôlées 
      3 Avertissements 
      2 Consignes 
  83621 Des objets ont été contrôlés lors du Rootkitscan 
      0 Des objets cachés ont été trouvés 




Et voici un rapport du logiciel Security Tool (logiciel survenu à notre inu. ca parait louche) 

Trojan winhlp32.exe Trojan.Win32.KillFiles.lm This Trojan has a malicious payload.  It is a Windows PE EXE file.  The file is 368 128 bytes in size. áàéò. It is not packed in any way.  It is written in Borland Delphi. 
Spyware comrereg.exe Trojan-PSW.Win32.QQRob.10 This Trojan is designed to steal user passwords.  It is a Windows PE EXE file.  It is 70,144 bytes in size.  Installation  When launched, the Trojan copies its executable file to the Windows system directory:  %System%obber1.exe  The Trojan also adds a link to its executable file in the system... 
Adware dialer.exe Virus.DOS.Guevara.1918 It is a very dangerous memory resident parasitic virus. It hooks INT 21h and writes itself to the end of .COM and .EXE files that are executed. On 10th, 20th and 30th of any month the virus erases the hard drive sectors, displays an image of Che Guevara and the text:  TE GUSTA ESTAR BLOQUEADO A... 
Spyware helpsvc.exe Trojan-PSW.Win32.QQRob.10 This Trojan is designed to steal user passwords.  It is a Windows PE EXE file.  It is 70,144 bytes in size.  Installation  When launched, the Trojan copies its executable file to the Windows system directory:  %System%obber1.exe  The Trojan also adds a link to its executable file in the system... 
Malware localsec.dll Virus.DOS.Shifter.983 This virus infects .OBJ files prepared to be compiled to COM files. The virus inserts itself into OBJ files so, that after linking to COM executable file the result contains the virus at the beginning of the file. When that file is executed, the virus receives the control, hooks INT 21h and... 
Trojan msinfo.dll Trojan.JS.Offiz Simple Trojan programs written in the JS (JSript) language that reside in HTM-files.  These trojan scripts open many Internet Explorer windows that once open can''t be closed. If a user presses the Alt+F4, Ctrl or Del keys a message box is displayed with the text:   "You are an idiot!". 
Dialer msvcrt.dll Exploit.HTML.Ascii.d This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page.  It is 2431 bytes in size. It is not packed in any way. 
Worm odbcji32.dll Net-Worm.Win32.Witty This fileless worm, also known as BlackIce and Blackworm, infects computers which use the following vulnerable ISS products:  RealSecure Network 7.0, XPU 22.11 and before  RealSecure Server Sensor 7.0 XPU 22.11 and before   RealSecure Server Sensor 6.5 for Windows SR 3.10 and before   Proventia A... 
Rogue rsh.exe Virus.DOS.Euskara.811 It is not a dangerous nonmemory resident parasitic virus. It searches for COM files, then writes itself to the end of the file. The virus leaves in the HMA the memory resident program that hooks INT 9 (keyboard) and depending on the keys that are pressed either manifests itself with some video... 
Worm srchctls.dll Net-Worm.Perl.Santy.a This worm uses a vulnerability in phpBB, which is used to create forums and web sites, to spread via the Internet. phpBB versions lower than 2.0.11 are vulnerable.  The worm is written in Perl, and is 4966 bytes in size.  Propagation  The worm creates a specially formulated Google search request.... 
Spyware w32time.dll Trojan-PSW.Win32.LdPinch.byc This Trojan is designed to steal user passwords.  It is a Windows PE EXE file.  The file is 43 377 bytes in size.  It is written in Assembler. 
Malware olecnv32.dll Virus.DOS.PM.733 It is a harmless memory resident stealth parasitic virus. It hooks INT 21h and writes itself to the end of .COM files that are executed or closed. When an infected file is opened, the virus disinfects it. The virus contains the ID-strings:  PM 
Worm wmp.dll Worm.Win32.Agent.i This malicious program is a worm.  It is a Windows PE EXE file.  It is 71 168 bytes in size.  It is packed using UPX. The unpacked file is approximately 240KB in size.  Installation When launched, the worm creates the following folder: %System%\ace When launched, the worm extracts the following file... 
Rogue dhcpcsvc.dll Virus.DOS.Mabuhay.2660.b This is a very dangerous virus. It hooks INT 21h and writes itself to the end of COM and EXE files that are executed (except COMMAND.COM). It looks like modifications of the "Jerusalem" virus. On June, 12th it displays the national flag of Philippines, the text message, erases the disk sectors and... 
Dialer ehepg.dll Exploit.HTML.Ascii.j This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page.  It is 1046 bytes in size. It is not packed in any way. 
Spyware oleaut32.dll Trojan-PSW.Win32.Small.ae This Trojan program is designed to steal user passwords.  It is a Windows PE EXE file.  It is 10240 bytes in size. Installation The Trojan copies its executable file to the Windows system directory:  %System%\winsys.dll In order to ensure that the Trojan is launched automatically each time the... 
Adware msjetol1.dll Virus.DOS.Squatter.9742 This is a dangerous memory resident parasitic highly polymorphic and stealth virus. It hooks INT 21h and writes itself to the end of COM and EXE files that are accessed. Depending on their counters the virus also infects the "C:\DOS\KEYB.COM" file, if it exists. The virus does not infect the... 
Dialer kerberos.dll Exploit.HTML.Ascii.d This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page.  It is 2431 bytes in size. It is not packed in any way. 
Worm avifil32.dll Net-Worm.Win32.Witty This fileless worm, also known as BlackIce and Blackworm, infects computers which use the following vulnerable ISS products:  RealSecure Network 7.0, XPU 22.11 and before  RealSecure Server Sensor 7.0 XPU 22.11 and before   RealSecure Server Sensor 6.5 for Windows SR 3.10 and before   Proventia A... 
Adware acxtrnal.dll Virus.DOS.Am.743 This is a harmless memory-resident parasitic virus. It hooks INT 21h and writes itself at the end of COM files that are executed. It contains the text "am", the same value is returned (in ASCII) by the virus when it checks the previously loaded TSR copy.  On calling the GetDate DOS function the... 
Rogue extmgr.dll Virus.DOS.TempVir.466 It is a harmless nonmemory resident parasitic virus. It searches for COM files only in C:\TEMP\ directory, then writes itself to the end of the file. The virus does not manifest itself in any way, it contains the text string:  C:\TEMP\*.COM 
Spyware url.dll Trojan-PSW.Win32.Lmir.gen This family of Trojans steals passwords to the online game Legend of Mir.  As a rule, programs belonging to this family are written in high-level programming languages such as Delphi, Visual C/C++, Visual Basic). File sizes vary, and the programs utilize a range of methods to install themselves to... 
Trojan ati2evxx(7)(3)(2).dll Trojan.Win32.KillAV.gj This Trojan is a Windows PE EXE file 61440 bytes in size.   Once launched, the Trojan causes the following message to be displayed:    It then creates a file called Update.bat in the C: root directory:  C:\Update.bat  The Trojan terminates any processes it finds with the names listed below:... 
Spyware bthci.dll Trojan-PSW.Win32.Lmir.gen This family of Trojans steals passwords to the online game Legend of Mir.  As a rule, programs belonging to this family are written in high-level programming languages such as Delphi, Visual C/C++, Visual Basic). File sizes vary, and the programs utilize a range of methods to install themselves to... 
Trojan dcomcnfg.exe Trojan.BAT.Adduser.t This Trojan has a malicious payload.  It is a BAT file.  It is 1129 bytes in size. 
Backdoor dsdmoprp.dll Backdoor.Win32.RA-based This is a typical client-server remote administration utility that allows connection to remote computer(s) in order to manage its (their) system resources in real time (similar to "pcAnywhere" by Symantec). This utility has a "Remote-Anything" name, and it is developed and distributed by the TWD... 
Rogue esentprf.dll Virus.DOS.Spartak_II.2000 It is not a dangerous nonmemory resident polymorphic companion virus. It searches for .COM and .EXE files, then renames .COM files to .CCC and .EXE files to .EEE, then writes itself instead of host file. After infection the virus creates in the current directory the SPARTAK.BAT file and writes to... 
Spyware inetppui.dll Trojan-PSW.Win32.Coced.219 This Trojan steals user passwords.  It is designed to steal a range of confidential information. It is a Windows PE EXE file.  It is 11,269 bytes in size. It is written in Visual C++. Installation Once launched, the virus copies its executable file to the Windows system directory:... 
Spyware kbdkor.dll Trojan-PSW.Win32.QQRob.10 This Trojan is designed to steal user passwords.  It is a Windows PE EXE file.  It is 70,144 bytes in size.  Installation  When launched, the Trojan copies its executable file to the Windows system directory:  %System%obber1.exe  The Trojan also adds a link to its executable file in the system... 
Malware logonui.exe Virus.DOS.Crasher.659 This is a very dangerous memory resident parasitic virus. It hooks INT 21h and writes itself to the beginning of COM files that are opened. The virus contains the string:  (C) CRASHER X  On December 20th it erases C: drive sectors and displays the message:  Dear users ! Hapy new year ! * / /   /_ *... 
Spyware modex.dll Trojan-PSW.Win32.Coced This Trojan is one of a family of Trojans which steals user passwords.  It is designed to steal confidential data.  It is a Windows PE EXE file.  The file is 9,728 bytes in size. It is written in Visual C++. 
Worm msvcr70.dll Net-Worm.Win32.CodeRed.a CodeRed (aka Code Red, Bady) is an Internet worm that replicates between Windows 2000 servers running Microsoft''s IIS (Internet Information Services) and the Microsoft Index Server 2.0 or the Windows 2000 Indexing Service. It does this by exploiting a bug known as "Unchecked Buffer in the Index... 
Worm nv4_disp.dll Worm.Win32.Fujack.a This worm spreads on the hard disk of the victim machine and to write-accessible network resources.  It is a Windows PE EXE file.  Modifications of this program may vary in size from 26KB to 129KB. The program may be packed with a range of packers.  Installation When launched, the worm copies its... 
Rogue proquota.exe Virus.DOS.Mono.1063 It is a very dangerous memory resident parasitic virus. IT hooks INT 21h and infects COM files that are executed, and deletes the files that are opened. It infects the memory like "Cascade" virus, but contains several errors. It installs, infects and deletes the files only upon monochrome monitor... 
Trojan rsopprov.exe Trojan.VBS.KillOS.a This Trojan has a malicious payload. It is 343 bytes in size, and written in Visual Basic Script. 
Adware schannel.dll Virus.DOS.VLAD.Systa.231 It is a harmless non memory-resident parasitic virus. It searches for SYS files, then writes itself to the end of the file. The virus contains the text strings:  SySta by Qark/VLAD *.sys 
Dialer ssmarque.scr Exploit.HTML.Ascii.f This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page.  It is 1614 bytes in size. It is not packed in any way. 
Spyware winmine.exe Trojan-PSW.Win32.LdPinch.ur This Trojan is designed to steal user passwords.   It is a Windows PE EXE file.  The size of the infected file may vary between 21KB to 86KB.  It is packed using FSG. 
Rogue wpdmtpus.dll Virus.DOS.Glew.4245 This is a very dangerous memory resident parasitic polymorphic virus. It hooks INT 21h and writes itself to the end of EXE files that are executed, opened or closed. The virus does not infect several anti-virus programs (TBAV, FVIRU,0, F-PROT, AVP, e.t.c.) and COMMAND.COM according to the string:  TB... 




Voila ! Merci pour votre aide ! Je ne sais plus quoi faire et je post ces infos avant qu'internet soit bloqué par ces sales virus :( 

Ciao

Karel7 · Answer

Salut,

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤  Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

et un diagnostic stp :

¤ Télécharge ZHPDiag (de Nicolas Coolman).
¤ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
¤ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¤ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¤ Rend toi sur Cijoint et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
¤ Un lien se ra généré, copie colle le dans ta prochaine réponse.

Bonne chance
@+

ladymix · Answer

Bonjour Karel7 :) Merci pour votre réactivité et votre aide !

Voici le rapport Malwarebyte:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3385
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/09/2010 18:14:51
mbam-log-2010-09-26 (18-14-51).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 321560
Temps écoulé: 1 hour(s), 38 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winusr (Adware.Gibmedia) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Winsudate (Adware.Gibmedia) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\Local.dtd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\Ui.dtd (Malware.Trace) -> Quarantined and deleted successfully.




Par contre je n'arrive pas à accéder à déposer le rapport ZHPDiag sur le site cijoint...y a-t-il un autre moyen de vous transmettre le rapport en dehors d'un copier/coller ?

Merci ;o)

Karel7 · Answer

Re,

Pour Cijoint, essaye d'utiliser Cjoint (oui oui, grande ressemblance dans le nom :) ), c'est à peut près la même procédure, tu clique sur "parcourir...", indique le fichier puis clique sur "Créer le lien Cjoint", ne te restera plus que copier coller le lien :-) 

Bonne chance
@+

ladymix · Answer

ca ne fonctionne pas non plus :( j'arrive sur une page internet "La connexion avec le serveur a été réinitialisée pendant le chargement de la page."

Karel7 · Answer

Re,

Essaye de procéder comme suit :

Télécharger rkill depuis l'un des liens ci-dessous:

https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

Enregistrer le fichier sur le Bureau.



Désactiver le module résident de l'antivirus et celui de l'antispyware.


Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum. 

puis heberge le fichier, sinon , divise le en deux parties  et envoi le en deux messages.

Bonne chance
@+

ladymix · Answer

voici ce que j'ai récupéré:

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Laeti on 26/09/2010 at 20:02:18. 


Services Stopped:


Processes terminated by Rkill or while it was running: 


C:\Documents and Settings\Laeti\Mes documents\Téléchargements\rkill.exe


Rkill completed on 26/09/2010  at 20:02:30.

ladymix · Answer

Bonjour,

Bon vu qu'aucune manipulation ne fonctionnait sur mon pc. J'ai fait le nécessaire au boulot :o)

Voici le lien pour voir le rapport ZHPDiag:

https://www.cjoint.com/?jBoQkdjWTp

Cdlt

Karel7 · Answer

Re,

Maintenant, nous pourrons nous battre >:-)

Utilise Ad Remover :

¤ Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
¤ Double-clique sur l'icône AD-Remover
¤ Au menu principal, clique sur "Nettoyer"
¤ Confirme le lancement de l'analyse et laisse l'outil travailler
¤ Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Et réutilise MBAM :

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤  Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Bonne chance
@+

ladymix · Answer

Bonsoir :) Déclarons la guerre à ce virus :oD

Voici le rapport AD-Remover:

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:21:36 le 27/09/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Laeti@SMOKY ( ) 
 
============== ACTION(S) ==============

Service: "winsvc" Stoppé et supprimé 

0,Fichier supprimé: C:\log_lobby.txt
0,Fichier supprimé: C:\log_lobby_dumper.txt
0,Fichier supprimé: C:\Documents and Settings\Dj Talion\Application Data\Mozilla\FireFox\Profiles\aspfdiso.default\searchplugins\dealiocom.xml
0,Dossier supprimé: C:\Documents and Settings\Laeti\Application Data\Bandoo
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Bandoo
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Bandoo
0,Dossier supprimé: C:\Program Files\Bandoo
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
0,Dossier supprimé: C:\Program Files\Viewpoint
0,Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Everest Poker.fr.lnk

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Laeti\Application Data\Mozilla\FireFox\Profiles\zo73f7dk.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultenginename", "Web Search"); 
Ligne supprimée: user_pref("browser.search.order.1", "Web Search"); 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}
3,Clé supprimée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
3,Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{6A87B991-A31F-4130-AE72-6D0C294BF082}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
3,Clé supprimée: HKLM\Software\Classes\AppID\{9C123289-82E1-4da7-A3C2-B8D28AAD114B}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
3,Clé supprimée: HKLM\Software\Classes\AppID\{3AD7A5B6-610D-4A82-979E-0AED20920690}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}
1,Clé supprimée: HKLM\Software\Classes\Interface\{03C390E8-B836-4B82-8D56-1BFDDC06AE8A}
1,Clé supprimée: HKLM\Software\Classes\Interface\{2C4470A2-E099-4B9E-ABFE-BBA56D046AFD}
1,Clé supprimée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
1,Clé supprimée: HKLM\Software\Classes\Interface\{391769AE-D8EC-45EC-967D-F5120456E514}
1,Clé supprimée: HKLM\Software\Classes\Interface\{39AEF150-C270-4690-AE7D-955E51BC8960}
1,Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
1,Clé supprimée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CD73B1AB-3403-4E47-B196-517C57BE76A2}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3AD7A5B6-610D-4A82-979E-0AED20920690}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{62E5C9E1-A0E8-4F8C-8EAF-0F9250CC5786}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{9C123289-82E1-4DA7-A3C2-B8D28AAD114B}
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin
0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin.1
0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl
0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl.1
0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl
0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl.1
0,Clé supprimée: HKLM\Software\Classes\Dealio.CDealioSidebar
0,Clé supprimée: HKLM\Software\Classes\Dealio.CDealioSidebar.1
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
0,Clé supprimée: HKLM\Software\bandoo
0,Clé supprimée: HKLM\Software\MetaStream
0,Clé supprimée: HKLM\Software\Titan Poker
0,Clé supprimée: HKLM\Software\Viewpoint
0,Clé supprimée: HKLM\Software\Winsudate
0,Clé supprimée: HKCU\Software\Dealio
0,Clé supprimée: HKCU\Software\Grand Virtual
0,Clé supprimée: HKCU\Software\Titan Poker
0,Clé supprimée: HKCU\Software\Winsudate
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Dealio
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
3,Clé supprimée: HKLM\Software\Classes\Installer\Products\1FE1E83F6DBB3474FA4820E1620B84C1
3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\1FE1E83F6DBB3474FA4820E1620B84C1
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Documents and Settings\Laeti\Application Data\Mozilla\FireFox\Profiles\zo73f7dk.default\Prefs.js --
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.10
keyword.URL, hxxp://www.wibeez.com/meteo?search&q=

-- C:\Documents and Settings\Dj Talion\Application Data\Mozilla\FireFox\Profiles\aspfdiso.default\Prefs.js --
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Yahoo
browser.startup.homepage_override.mstone, rv:1.9.2.10
keyword.URL, hxxp://search.yahoo.com/search?ei=UTF-8&fr=vmn&type=vendio&p=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 273 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/09/2010 (9567 Octet(s)) 

Fin à: 19:27:47, 27/09/2010 
 
============== E.O.F ==============

ladymix · Answer

Et voici le rapport de Malwarebyte ! Pour info, lors du scan 4 virus ont été détecté par antivir et une fenêtre d'erreur s'est ouverte avec ce titre:"Generic Host Process Win 32 Services"

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4704

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27/09/2010 21:31:40
mbam-log-2010-09-27 (21-31-40).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 337063
Temps écoulé: 1 heure(s), 44 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\uvc7jk640c (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
etsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\download (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Laeti\Local Settings\Temporary Internet Files\Content.IE5\33YUWIGV\sjaipk[1].htm (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Documents and Settings\Laeti\Local Settings\Temporary Internet Files\Content.IE5\O0R10E22\update[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Laeti\Mes documents\Téléchargements\Everest Poker.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1252\A0153504.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1253\A0153586.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1254\A0153674.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1255\A0153741.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1256\A0153810.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1257\A0153877.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1258\A0153997.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1258\A0153998.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Karel7 · Answer

Salut,

Excuse moi pour le delais,

La restauration du systeme a étée touchée, vide là  :

¤ Sous XP :
              o Aller au menu démarrer et cliquer droit sur "Poste de travail" et sélectionner "Propriétés"
              o Dans l'onglet "Restauration du système", cocher "Désactiver la restauration du système sur tout les lecteurs"
              o Cliquer sur appliquer et confirmer (tout les points de restauration sont supprimés).
              o Décocher la case "Désactiver la restauration du système sur tout les lecteurs" et cliquer sur Appliquer pour réactiver la restauration du système.

Et crée un point de restauration saint :

¤ Sous XP :
          o Aller au menu demarrer
          o Dans "Tous les programmes"
          o Dans "Accessoires"
          o Dans "outils système"
          o Cliquer sur "restauration du système"
          o Cocher "Créer un point de restauration" et cliquer sur "Suivant"
          o Entrer une description n'importe du point de restauration puis cliquer sur "Créer"
          o Le point se crée, cliquer sur fermer pour quitter la restauration du système

Ensuite, utilise Combofix :

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

¤ Télécharge ComboFix (de sUBs) sur ton Bureau.
¤ Double-clique sur ComboFix.exe afin de le lancer.
¤ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¤ Ne touche à rien pendant le scan.
¤ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix

Bonne chance @+

ladymix · Answer

Bonsoir Karel7 :o)  

Après avoir supprimé tous les points de restauration, j'ai créé un nouveau point de restauration comme indiqué.  

Concernant Combofix:  

Après avoir désactivé Spybot, le pare feu et Antivir + déconnexion d'internet, j'ai lancé le programme. Il m'a demandé d'installer la console de récupération et une connexion internet fut nécessaire. Je me suis donc reconnectée au net et l'installation s'est poursuivie...  

A un moment, Combofix a détecté un rootkit et a du redémarrer le pc ! Au redémarrage, Antivir s'est réactivé tout seul :(   
Il a détecté un virus: Cheval de Troie/Rootkit.Gen3 ! Je l'ai mis en quarantaine et le scan Combofix a repris ! J'avais pourtant désactivé l'antivirus (le petit parapluie était bien fermé) 

Au bout de quelques minutes, il a terminé toutes les étapes su scan et m'a transmis le rapport que voici:  

ComboFix 10-09-29.01 - Laeti 29/09/2010  23:08:01.2.2 - x86  
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.959.563 [GMT 2:00]  
Lancé depuis: c:\documents and settings\Laeti\Bureau\ComboFix.exe  
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}  
.  

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))  
.  

c:\documents and settings\All Users\Application Data\Macromedia\SwUpdate  
c:\documents and settings\All Users\Application Data\Macromedia\SwUpdate\Flags.dtd  
c:\documents and settings\Laeti\Application Data\download2  

Une copie infectée de c:\windows\system32\drivers\dmio.sys a été trouvée et désinfectée   
Copie restaurée à partir de - Kitty had a snack :p   
.  
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-28 au 2010-09-29  ))))))))))))))))))))))))))))))))))))  
.  

2010-09-27 17:35 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys  
2010-09-27 17:35 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys  
2010-09-27 17:35 . 2010-09-27 17:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware  
2010-09-27 17:33 . 2010-09-27 17:33 -------- d-----w- c:\documents and settings\Laeti\Application Data\Bandoo  
2010-09-27 17:21 . 2010-09-27 17:26 -------- d-----w- c:\program files\Ad-Remover  
2010-09-26 16:25 . 2010-09-26 16:27 -------- d-----w- c:\program files\ZHPDiag  
2010-09-26 11:08 . 2010-09-26 11:08 -------- d-----w- c:\windows\system32\wbem\Repository  
2010-09-25 16:10 . 2010-09-26 11:07 -------- d-----w- c:\documents and settings\Dj Talion\Local Settings\Application Data\Google  
2010-09-25 16:09 . 2010-09-25 16:09 -------- d-----w- c:\documents and settings\Dj Talion\Local Settings\Application Data\ATI  
2010-09-25 16:00 . 2010-09-25 16:00 -------- d-----w- c:\documents and settings\Dj Talion\IETldCache  

.  
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))  
.  
2010-09-29 21:10 . 2006-09-14 05:25 77024 ----a-w- c:\windows\system32\perfc00C.dat  
2010-09-29 21:10 . 2006-09-14 05:25 471890 ----a-w- c:\windows\system32\perfh00C.dat  
2010-09-26 16:41 . 2010-07-04 12:28 -------- d-----w- c:\program files\Everest Poker.fr  
2010-09-25 16:09 . 2008-08-29 07:07 42152 -c--a-w- c:\documents and settings\Dj Talion\Local Settings\Application Data\GDIPFONTCACHEV1.DAT  
2010-09-05 13:10 . 2007-02-03 17:44 42152 -c--a-w- c:\documents and settings\Laeti\Local Settings\Application Data\GDIPFONTCACHEV1.DAT  
2010-09-05 13:02 . 2010-08-21 09:33 -------- d-----w- c:\program files\VirtualDJ  
2010-09-05 12:59 . 2009-12-21 01:14 -------- d-----w- c:\program files\ma-config.com  
2010-09-05 12:59 . 2010-01-09 13:07 -------- d-----w- c:\documents and settings\LocalService\Application Data\ATI  
2010-09-05 12:59 . 2009-12-21 18:55 -------- d-----w- c:\documents and settings\Laeti\Application Data\ATI  
2010-09-05 12:59 . 2006-09-29 17:13 -------- d-----w- c:\program files\ATI Technologies  
2010-08-16 07:25 . 2010-08-16 07:25 -------- d-----w- c:\program files\Micro Application  
2010-08-13 20:12 . 2010-08-13 20:12 0 ----a-w- c:\windows\ativpsrm.bin  
2010-08-13 20:02 . 2006-09-29 17:13 -------- d--h--w- c:\program files\InstallShield Installation Information  
2010-08-13 19:48 . 2009-12-21 01:14 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com  
2010-07-23 15:22 . 2010-08-02 09:25 1496064 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll  
2010-07-23 15:22 . 2010-08-02 09:25 43008 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll  
2010-07-23 15:22 . 2010-08-02 09:25 338944 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll  
2010-07-23 15:22 . 2010-08-02 09:25 346112 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll  
.  

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))  
.  
.  
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés   
REGEDIT4  

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]  
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]  
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]  
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]  
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]  
"RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2006-09-29 26112]  

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]  
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]  

c:\documents and settings\Dj Talion\Menu D'marrer\Programmes\D'marrage\  
Club Internet.lnk - c:\program files\Club-Internet\Lanceur\lanceur.exe [2007-7-19 5484544]  

c:\documents and settings\Laeti\Menu D'marrer\Programmes\D'marrage\  
Club Internet.lnk - c:\program files\Club-Internet\Lanceur\lanceur.exe [2007-7-19 5484544]  

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\  
LE COMPAGNON CLUB.lnk - c:\program files\Club-Internet\Le Compagnon Club\bin\matcli.exe [2007-9-2 217088]  
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]  

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]  
"EnableFirewall"= 0 (0x0)  

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]  
"%windir%\system32\sessmgr.exe"=  
"c:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe"=  
"c:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"=  
"c:\Program Files\AOL 9.0\waol.exe"=  
"c:\Program Files\Hercules\Hercules DualPix HD Webcam\Station2.exe"=  
"c:\Program Files\TVAnts\Tvants.exe"=  
"c:\Program Files\Hercules\Hercules DualPix HD Webcam\ControlUI.exe"=  
"c:\Program Files\Messenger\msmsgs.exe"=  
"%windir%\Network Diagnostic\xpnetdiag.exe"=  
"c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"=  
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=  
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=  
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=  
"c:\Documents and Settings\Laeti\temp\TeamViewer\Version5\TeamViewer.exe"=  
"c:\Program Files\Skype\Phone\Skype.exe"=  
"c:\Program Files\Bonjour\mDNSResponder.exe"=  
"c:\Program Files\iTunes\iTunes.exe"=  
"c:\Program Files\Real\RealPlayer\realplay.exe"=  

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"6346:TCP"= 6346:TCP:shareaza  
"6346:UDP"= 6346:UDP:shareaza  
"14135:UDP"= 14135:UDP:Server Application  
"14135:TCP"= 14135:TCP:Server Application  
"13621:UDP"= 13621:UDP:MFP Setup Wizard  
"13878:UDP"= 13878:UDP:MFP Manager  
"13364:UDP"= 13364:UDP:MFP Server Manager  
"69:UDP"= 69:UDP:MFP Server Manager TFTP  
"25346:TCP"= 25346:TCP:spport  
"22869:TCP"= 22869:TCP:spport  
"9965:TCP"= 9965:TCP:spport  
"8326:TCP"= 8326:TCP:spport  
"29381:TCP"= 29381:TCP:spport  
"11584:TCP"= 11584:TCP:spport  
"23154:TCP"= 23154:TCP:spport  
"13439:TCP"= 13439:TCP:spport  

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/11/2009 21:48 108289]  
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [19/09/2008 03:03 65536]  
R3 APL531;Hercules Dualpix HD Webcam;c:\windows\system32\drivers\HDvid.sys [20/11/2007 01:05 275072]  
R3 camfilt;camfilt;c:\windows\system32\drivers\camfilt.sys [20/11/2007 01:05 24192]  
R3 WUSBVBus;MFP Server Detector;c:\windows\system32\drivers\mfpvbus.sys [20/12/2008 20:23 10240]  
S0 cekzzlvbdhtkvl;cekzzlvbdhtkvl;c:\windows\system32\drivers\gocimxpxld.sys --> c:\windows\system32\drivers\gocimxpxld.sys [?]  
S0 khqlmxop;khqlmxop;c:\windows\system32\drivers\oopuhnpkpjv.sys --> c:\windows\system32\drivers\oopuhnpkpjv.sys [?]  
S0 xapiosqilhq;xapiosqilhq;c:\windows\system32\drivers\xhrfi.sys --> c:\windows\system32\drivers\xhrfi.sys [?]  
S2 ALIWEHCD;MFP Server Enhanced Controller;c:\windows\system32\drivers\mfpec.sys [20/12/2008 20:23 34944]  
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/07/2010 14:59 243056]  
.  
Contenu du dossier 'Tâches planifiées'  

2010-08-24 c:\windows\Tasks\AppleSoftwareUpdate.job  
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]  
.  
.  
------- Examen supplémentaire -------  
.  
mWindow Title =   
uInternet Settings,ProxyOverride = *.local  
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000  
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab  
FF - ProfilePath - c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\  
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=  
FF - prefs.js: browser.search.selectedEngine - Google  
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/  
FF - prefs.js: keyword.URL - hxxp://www.wibeez.com/meteo?search&q=  
FF - component: c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\firefox@bandoo.com\components\FFPlugin.dll  
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll  
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll  
FF - plugin: c:\program files\QuickTime\Plugins
pqtplugin8.dll  

---- PARAMETRES FIREFOX ----  
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);   
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);   
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);  
.  

**************************************************************************  

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net  
Rootkit scan 2010-09-29 23:15  
Windows 5.1.2600 Service Pack 3 NTFS  

Recherche de processus cachés ...   

Recherche d'éléments en démarrage automatique cachés ...   

Recherche de fichiers cachés ...   

Scan terminé avec succès  
Fichiers cachés: 0  

**************************************************************************  
.  
--------------------- DLLs chargées dans les processus actifs ---------------------  

- - - - - - - > 'winlogon.exe'(524)  
c:\windows\system32\Ati2evxx.dll  
.  
Heure de fin: 2010-09-29  23:18:18  
ComboFix-quarantined-files.txt  2010-09-29 21:18  

Avant-CF: 129 638 727 680 octets libres  
Après-CF: 129 755 766 784 octets libres  

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe  
[boot loader]  
timeout=2  
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS  
[operating systems]  
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons  
UnsupportedDebug="do not select this" /debug  
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect  

- - End Of File - - BD94F8C87D6FE975B8BAE4F5ECABE401

Karel7 · Answer

Salut,

ok, il y a des rootkits, trois services aléatoires, nous devons nous en débarrasser :

¤ Télécharge OTM  (OtmoveIT de Old_Timer) sur ton Bureau
¤ Double-clique sur OTM.exe pour le lancer.
¤ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.


______________________________________________
:files
c:\windows\system32\drivers\xhrfi.sys
c:\windows\system32\drivers\oopuhnpkpjv.sys
c:\windows\system32\drivers\gocimxpxld.sys
:services
xapiosqilhq
khqlmxop
cekzzlvbdhtkvl
:commands
[purity]
[emptytemp]
______________________________________________

¤ Clique sur MoveIt! puis ferme OTM.
¤ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
¤ Accepte en cliquant sur YES.
¤ Poste le rapport situé dans C:\_OTM\MovedFiles.
¤ Le nom du rapport correspond au moment de sa création : date_heure.log

Bonne chance @+

ladymix · Answer

Bonjour,

Voici le rapport OTM:

All processes killed
========== FILES ==========
File/Folder c:\windows\system32\drivers\xhrfi.sys not found.
File/Folder c:\windows\system32\drivers\oopuhnpkpjv.sys not found.
File/Folder c:\windows\system32\drivers\gocimxpxld.sys not found.
========== SERVICES/DRIVERS ==========
Service xapiosqilhq stopped successfully!
Service xapiosqilhq deleted successfully!
Service khqlmxop stopped successfully!
Service khqlmxop deleted successfully!
Service cekzzlvbdhtkvl stopped successfully!
Service cekzzlvbdhtkvl deleted successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Dj Talion
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15989862 bytes
->Flash cache emptied: 522 bytes
 
User: Laeti
->Temp folder emptied: 809 bytes
->Temporary Internet Files folder emptied: 3229470 bytes
->Java cache emptied: 56105 bytes
->FireFox cache emptied: 46226324 bytes
->Google Chrome cache emptied: 6283429 bytes
->Apple Safari cache emptied: 975872 bytes
->Flash cache emptied: 2011912 bytes
 
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 1465 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes

ladymix · Answer

Bonjour,

Désolée de ne répondre qu'aujourd'hui !

Voici le lien du diagnostic ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201010/cijcuHLaTd.txt

Merci ;o)

Karel7 · Answer

Re,

Un petit script et c'est terminé ;-) :

¤ Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag) (Sous Vista/Seven, clique droit "Executer en tant qu'administrateur") 
¤ Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
¤ Copie/colle les lignes suivantes et place les dans ZHPFix : 

______________________________________________ 
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\xxx@xxx.com
O42 - Logiciel: Dealio Toolbar 3.1.1
______________________________________________ 

¤ Clique sur « Tous », puis sur « Nettoyer » 
¤ Copie/colle la totalité du rapport dans ta prochaine réponse 

@+

ladymix · Answer

Voici le rapport demandé:

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 06/10/2010 19:08:35
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\mozilla firefox\extensions\xxx@xxx.com  => Fichier absent

Logiciel :
O42 - Logiciel: Dealio Toolbar 3.1.1  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 1
Autre : 0


End of the scan

Karel7 · Answer

Salut, Ok c'est terminé : <|> Utilise MBAM pour bien tout nettoyer : ¤ Télécharge Malwarebytes Antimalware ¤¤¤> Tutoriel MBAM ¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation) ¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet" ¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" ¤ L'analyse peut durer un bon moment..... ¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" ¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" ¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée <|> Pour supprimer tout les outils : ¤ Relancer ZHPDiag et générer un rapport en appuyant sur la loupe en haut à gauche. ¤ A la fin du chargement, cliquer en haut à droite sur l'icône du bouclier vert pour lancer ZHPfix. ¤ Appuyer maintenant sur le A rouge en haut pour lancer la suppression des outils. ¤ Sélectionner tout les outils en appuyant sur "Tous" (tous les outils sont cochés par défaut) et cliquer ensuite sur "Nettoyer". ¤ Redémarrer à la demande. <|> Un petit coup de Ccleaner : Utilise ce programme pour optimiser ton ordinateur : ¤ Télécharge CCleaner Slim. ¤ Installe le puis lance le. ¤ Clique sur Nettoyeur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche. ¤ Enfin, clique sur Registre > corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois). <|> La restauration du système a peut être été touchée, le mieux est de la purger (la désactiver et la réactiver) : ¤ Sous XP : o Aller au menu démarrer et cliquer droit sur "Poste de travail" et sélectionner "Propriétés" o Dans l'onglet "Restauration du système", cocher "Désactiver la restauration du système sur tout les lecteurs" o Cliquer sur appliquer et confirmer (tout les points de restauration sont supprimés). o Décocher la case "Désactiver la restauration du système sur tout les lecteurs" et cliquer sur Appliquer pour réactiver la restauration du système. ¤ Sous Vista/Seven : o Aller au menu démarrer et cliquer droit sur "Ordinateur" puis sélectionner "Propriétés" o Cliquer sur "Protection du système" o Décocher la case du ou des disques pour lesquels on veut désactiver la restauration du système o Cliquer sur OK et confirmer (tout les points de restauration sont supprimés). o Recocher la case des disques pour lesquels on veut réactiver la restauration du système et valider. Créer un point de restauration propre pour finir : ¤ Sous XP : o Aller au menu demarrer o Dans "Tous les programmes" o Dans "Accessoires" o Dans "outils système" o Cliquer sur "restauration du système" o Cocher "Créer un point de restauration" et cliquer sur "Suivant" o Entrer une description n'importe du point de restauration puis cliquer sur "Créer" o Le point se crée, cliquer sur fermer pour quitter la restauration du système ¤ Sous Vista : o Dans le menu démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Centre de sauvegarde et de restauration" o Puis sur le volet de gauche, cliquer sur "Créer un point de restauration ou modifier les paramètres" o L'onglet Protection du système s'ouvre, vérifier que votre disque soit bien coché, puis cliquer sur "Créer" o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur Créer o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres. ¤ Sous Seven : o Dans Démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Créer un point de restauration" o L'onglet Protection du système s'ouvre, vérifier que la protection sur votre disque soit bien activée, puis cliquer sur "Créer" o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur "Créer" o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres. <|> Pour garder un PC propre, il faut tout d'abord installer une protection, ce qui veut dire, installer un antivirus, un antispyware et un pare feu, voila quelques conseils : Antivirus payant -> Kaspersky, Antivirus gratuit -> Avira antivir / Avast Antispyware payant -> Malwarebytes Antimalware, Antispyware gratuit -> SuperAntispyware Pare feu payant -> ZoneAlarm, Pare feu gratuit -> COMODO.>>> Tuto COMODO Toute fois, on est jamais assez prudent, il faut faire attention à son comportement sur le net, les cracks les keygens la P2P sont tous à bannir. Une autre précaution à prendre, les mises à jour, celles ci sont contrairement à ce que la plupart des gens pensent très très importantes, les application les plus importantes à mettre à jour sont : Adobe Reader, Java, Flash player et les mises à jour windows (mise à jour du navigateur incluse, que ce soit Internet Explorer, Firefox, Opera, Safari ou autre ...), voilà un logiciel très léger et utile pour les mises à jour (éviter les bêtas) > File Hippo Update Cheker Si vous utilisez Firefox (ce que je conseil vu qu'il protège bien contre les attaques malware) il y a quelques extensions utiles, tel que WOT pour identifier les sites dangereux, AD BlockPlus qui bloque les publicités intempestives et aussi NoScript qui protège contre les scripts malware. Voilà aussi quelques liens utiles Les mises à jour Windows Les mises de Adobe Reader et Java et Flash player Le danger des cracks Les toolbars Comparatif Antivirus Comparatif Antivirus Les infections USB J'attends tes rapports ;-)

ladymix · Answer

Bonjour,

Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4780

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/10/2010 20:57:06
mbam-log-2010-10-08 (20-57-06).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 300315
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

ladymix · Answer

Après ZHPfix:

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 08/10/2010 21:05:33
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Qoobox  => Supprimé et mis en quarantaine
C:\_OTM  => Supprimé et mis en quarantaine

Fichier :
c:\combofix.txt  => Supprimé et mis en quarantaine
c:\documents and settings\laeti\bureau\otm.exe  => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: ZHPDiag 1.24  => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix  => Logiciel supprimé avec succès
O63 - Logiciel: OTM  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 2
Logiciel : 3
Autre : 0


End of the scan

ladymix · Answer

Voilà tout est propre :o) 

Le PC est beaucoup plus silencieux et tout fonctionne correctement !  

Merci beaucoup pour ton aide et ta réactivité ! Ca n'a pas trainé ;-) 

Je vais regarder de plus près tes conseils d'entretien du PC avec le logiciel COMODO et autres... 

J'espère que tout va bien fonctionner maintenant ! A moi de faire attention aussi :o) 

Merci encore et bonne soirée 

Ciao

ladymix · Answer

Bonjour Karel7 !

Mauvaise nouvelle :( dans la nuit du 16 au 17/10/10 un nouveau "faux" logiciel de sécurité s'est installé à mon insu sur le PC ! il bloque tout et la session "Laeti" est complètement inutilisable !

Par contre celle de mon ami intitulé "Dj Talion" fonctionne 

J'ai fait un scan MBAM en mode sans échec et j'ai fait un scan ZHPDiag aussi en mode normal sur la session "Dj Talion".

En ouvrant cette session, j'ai voulu faire une restauration du système, le pc m'a indiqué que la restauration était désactivée :( du coup impossible de restaurer à une date ultérieure. J'ai seulement créé un point de restauration à la date d'aujourd'hui mais je pense que ca n'a servi à rien...

Je te pose les scan à ma disposition:

MBAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4780

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

17/10/2010 15:54:42
mbam-log-2010-10-17 (15-54-42).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 297146
Temps écoulé: 3 heure(s), 12 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Laeti\Local Settings	emp\0.7812328575479647.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Laeti\Local Settings	emp\pdfupd.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Et voici le lien du scan ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijF0UuRCY.txt


Merci pour ton aide :)

A+

Karel7 · Answer

Bonjour,

Le dernier rapport de MBAM, tu l'as fait en mode normal ou sans echec ? si tu l'as fait en mode sans echec, refait le en mode normal.

Dealio toolbar est une toolbar infectieuse qui glisse des malwares... En plus que Bandoo m'inquiète énormement, si tu n'en a pas vraiment besoin, vire le...

Puis utilise Ad Remover :

¤ Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
¤ Double-clique sur l'icône AD-Remover
¤ Au menu principal, clique sur "Nettoyer"
¤ Confirme le lancement de l'analyse et laisse l'outil travailler
¤ Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

@+

ladymix · Answer

Bonjour,

Le dernier scan MBAM fut effectué en mode normal.

Petit souci: je n'arrive pas à installer AD-Remover :( Le lien que tu as posté m'amène à cette page web: https://www.orange.fr/portail?u=http%253A//pp.auto.search.ke.voila.fr/

Elle indique "page introuvable"

Je suis allée dans la rubrique "Téléchargeré du site et j'ai trouvé le logiciel et j'ai réussi à le mettre sur mon bureau.

Au moment où je double clique pour installer une fenêtre noire C:\ apparaît et un autre cadre indique: "le processeur NTVDM a rencontré une instruction non autorisée. CS:070c IP:020a OP:6563686172 Choississez "Fermer" pour mettre fin à l'application"

Et je ne peux rien faire :(

As-tu une solution ?

Merci @+

Karel7 · Answer

Salut,

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

¤ Télécharge ComboFix (de sUBs) sur ton Bureau.
¤ Double-clique sur ComboFix.exe afin de le lancer.
¤ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¤ Ne touche à rien pendant le scan.
¤ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix

@+

ladymix · Answer

Bonjour,

Je pensais faire le nécessaire avec Combofix ce week end mais malheureusement le problème s'est agravé.

Au moment ou j'ai démarré le pc aujourd'hui, j'ai sélectionné la session de mon ami (Dj Talion) car sur la mienne je n'ai accès à rien.

J'ai pu imprimé une photo et la connexion à internet s'est faite automatiquement. J'ai laissé le pc tourner un moment et il s'est mis en veille. Au moment ou j'ai voulu m'en servir à nouveau, il était revenu à l'écran bleu où je dois choisir entre ma session ou l'autre (comme d'habitude quoi).

Je clique donc sur la session de mon ami et là le pc me demande un mot de passe. Le hic c'est qu'il n'y a jamais eu de mot de passe...

Alors je suis allée dans le menu démarrer et j'ai j'ai éteins le pc....

Le pc ne s'est jamais arrêté :( il redémarre tout seul, je vois la fenetre noire avec "Windows xp" qui charge et après il se coupe et redémarre...il fait ca en boucle.

J'ai tenté un redémarrage en mode sans échec, en mode sans échec avec prise en charge, en mode dernière configuration valide,...bref rien ne fonctionne et le pc redémarre/coupe en continu.

Qu'est il possible de faire ? J'ai peur de perdre toutes mes données si le disque dur est endommagé

merci a plus

Utilisateur anonyme · Answer

bonjour, 

message reçu Karel  :-)

* Télécharge ZHPDiag sur ton bureau : 

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/  
ou :  
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou :  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
  
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://www.cijoint.fr/ 
ou : 
http://ww38.toofiles.com/fr/documents-upload.html 

tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

ladymix · Answer

Bonjour,

Je voudrais bien effectuer les manipulations citées plus haut mais comme je l'ai expliqué dans mon précédent message, mon pc tourne en boucle.

Je n'ai pas accès à mon bureau, le pc démarre montre le démarrage windows xp puis s'éteint et redémarre, etc

Je ne peux meme pas le démarrer en mode sans échec...

Qu'est il possible de faire dans cette situation ?

Merci

Karel7 · Answer

Salut Ladymix,

Nous nous sommes mis d'accord vu ton cas, utilise OTLPE :

Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine.
Un Périphérique USB serait pratique également.

¤ Télécharge OTLPENet sur ton bureau.
¤ Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet.
¤ Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur Oui.
¤ Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté.

Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM.
Un tutoriel est disponible ici.
¤ Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE
¤  Double clique sur OTLPE
¤ Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur YES.
¤ Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur YES.
¤ Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur OK.

¤ OTL Va se lancer. Clique sur Run Scan pour démarrer l'analyse.

¤ Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt.

¤ Copies le fichier sur une clé usb si tu n'as pas accès à Internet.
¤ Poste le contenu du rapport OTL.txt dans ta prochaine réponse. 

Bonne chance @+

ladymix · Answer

Bon voila le probleme...je suis rentrée dans le BIOS du PC en appuyant sur F2 au moment du démarrage.

Une fois dans le BIOS je ne sais pas ou aller ! Il y a différentes rubriques qui s'offrent à moi, les voici:

- Standard CMOS Setup
- Advanced setup (je crois qu'il faut aller dans celle ci)
- Features Setup
- Power Management Setup
- PCI / Plug and Play Setup
- BIOS security features
- CPU PnP Setup
- Hardware monitor

Ou dois-je aller ? Je suis rentrée dans chaque rubrique et j'ai cherché une ligne qui s'appelle "Boot sequence" ou "Start device" mais je n'ai rien trouvé.

Par contre j'ai vu "Hard Disc drives" "Removable drives" et "CD / DVD drives" dans la 2e rubrique. Est ce que c'est ca que je devais trouver ?

Je n'ai donc pas réussi à faire démarrer le PC via le lecteur de CD ROM. J'attends tes indications. Merci

A+

Karel7 · Answer

Salut,

Excuse moi du retard, j'ai rencontré quelques problèmes de connexion, Tu semble ne pas parvenir à booter sur le CD, reporte toi à cet article pour t'aider.
@Electricien : au cas où je mettrai trop de retard à répondre, libre à toi de me remplacer :-) 

@+

Utilisateur anonyme · Answer

bonjour, 
pour avancer Karel7  :-) 

si tu arrives à récuperer un cd de Xp, tu pourras lancer une réparation de système, 

ceci te permet de redemarrer ton pc, récuperer tes données, voir même te dépanner le pc  :-) 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

ladymix · Answer

Bonjour, 

J'ai trouvé un CD Windows XP et je l'ai inséré dans le lecteur. Un écran noir apparait et voici le message qui s'y trouve: 

"Windows n'a pas démarré correctement. Un nouveau logiciel ou matériel peut être responsable de ce probléme.  

Si votre ordinateur ne répond plus, a redémarré de façon inattendue ou a été arrêté automatiquement pour protéger vos fichiers ou vos dossiers, choisissez l'option "Dernière bonne configuration connue" pour revenir aux derniers paramètres fonctionnant correctement. 

Si une tentative de démarrage précédente a été interrompue en raison d'une défaillance d'alimentation ou car le bouton d'alimentation ou de réinitialisation a été activé, ou si vous ne connaissez pas la raison de ce problème, choisissez "Démarrer Windows normalement" 

Au choix: 

- Mode sans échec 
- Mode sans échec avec prise en charge réseau 
- Invite de commandes en  mode sans échec 
- Dernière bonne configuration connue 
- Démarrer Windows normalement" 


Que dois-je faire ici pour pouvoir réparer Windows par la suite? 

Merci

Utilisateur anonyme · Answer

bonjour,
choisis, 
redemarrre windows normalement,

on verra cer que ça dit  :-)

Utilisateur anonyme · Answer

rappelle moi si c'est un pc portable ou un pc fix ?

quelles sont les autres partitions sur ce pc ?

s'il ne te propose pas de réparer windows, c'est que ton DD est inaccessible, donc en refaisant une partition, tu perderas toutes tes données, de toutes façons, tu n'as pas le choix :-(

si sur les autres partition, tu n'as rien d'important, supprime les puis refais une partition de 20 Go pour windows, puis le reste, tu conserves pour enregistrer tes futures données  :-)

lance l'installation après avoir supprimé, puis recréé une partition pour windows seulement, laisse terminer l'installation.

par contre, tu auras besoin d'une clé d'activation de windows qui soit valide.

Karel7 · Answer

Salut,

Tu peut te créer une nouvelle partition et y installer XP, tu as suffisament de place.
Après, tu pourra peut être récupérer tes données a partir de cette dernière (j'en doute :/)
Ceci devrai t'être proposé , non?

Utilisateur anonyme · Answer

bonjour, 


- Espace non partitionné (8 Mo) ==>>  Espace réservé, donc tu ne peux pas faire de partitions ici ! 

- Partition 2 Utilitaire EISA (5012 Mo) ===>> c'est quoi cette partition?

-- 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

si tu ne sais pas ce que c'est vire la, puis crée une partition pour le fonctionnement de windows, installe windows dans cette partition et avec un peu de chance, tu pourras consulter l'autre partition pour récuperer tes données  :-)

Utilisateur anonyme · Answer

il va te rester ces lignes :
"C: Partition 1 NTFS (300223 Mo)"

D: partition sans nom  ...  Mo

tu ne seras son nom et sa capacité, une fois l'autre partition supprimée

Utilisateur anonyme · Answer

pas besoin de créer une nouvelle partition, si ton pc est un PB, à l'aide des commandes, lance une installation depuis cette partition  :-) 

ton système d'exploitation est sur cette partition  :-)




O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

donne moi les réferances exactes de ton pc, je vais regrader sur le site de PB pour voir comment faire  :-)

Utilisateur anonyme · Answer

le modele complet de pc aussi

Utilisateur anonyme · Answer

clique sur ce lien :
https://www.packardbell.com/pb/fr/FR/content/customhelp

dans la fênetre, copie et colle ceci :
IStart MC 5702

et/ou regarde ceci :

http://packard-bell-fr.custhelp.com/app/error/error_id/1/session/L2F2LzEvdGltZS8xNjA3Mjc4Mzc0L2dlbi8xNjA3Mjc4Mzc0L3NpZC9mVTRGMW1fUUJtM1ZFUUliUTBsVyU3RWNZVElRYWhQdU1DNl9NbkxKUkxZU3Z5Z3hqWDNibkJuMUFDbkMlN0VZRXNwU05PckFhc0JFa25tal9pZU5FakoxVHgzeHJ3M2d1ZSU3RXFVNTJ4cFd5RHNOak5CMUFRUHV1cmNDeVElMjElMjE=

Utilisateur anonyme · Answer

bonjour,
je sais que les liens expliquent pour vista et Seven,

lance le cd d'installation de windows, une fois que le pc a redemarré dessus, quitte l'application et choisis l'invite de commande, normalement par le Dos, tu as accès à la partition de 5 Go,
regarde ce qui se trouve là dedans, fais une liste de ce qui se trouve dans ce répertoire,
on verra ce qu'il y a d'utile qu'on puisse exploiter.

dans le cas contraire ou il y a aucun accès aux données, on vire cette partition, puis on installe une belle copie de windows sur ton pc.

on fait toutes ces manip juste pour récuperer tes données, pour le reste, le cd de windows s'occupera de tout seul  ;-)

vérifie que tu disposes de la clé d'activation de windows avant de lancer l'installation.

pour les pilotes de ton pc, on troouvera tout sur le site de touslesdriver.com  :-)

@++

Utilisateur anonyme · Answer

on fait tout pour sauver tes données, mais si on y arrive pas, il vaut mieux partire sur de bonnes bases  :-)

@ ++

ladymix · Answer

Bonjour,

J'ai lancé l'application Windows à partir du CD.

Quand j'arrive sur cet écran:

https://www.malekal.com/reparer-windows-xp-2/#mozTocId433397

et que je fais F3 pour quitter l'application, je quitte l'installation de Windows et mon PC  redémarre.

Si je tape ENTREE à partir de cet écran j'attérris sur la liste des partitions (ou liste des installations Windows existantes) 

Je retrouve donc les 3 lignes de partitions déjà mentionnées dans mes précédents messages. Je peux alors installer Windows, créer une partition ou supprimer une partition sur l'un des 3 emplacements. Si je décide de quitter l'application,  le PC redémarre.

Que ce soit sur le 1er ou le 2nd écran, on ne m'offre jamais la possibilité de sélectionner "l'invite de commande".

Et je ne vois pas ce qu'est le Dos non plus :(

C'est mauvais signe ?

Utilisateur anonyme · Answer

bonsoir,
mais non, lance une réparation de susyème, regrade les options qu'il te propose,
s'il t'envoie en invite de commande, il y a peut être la possibilité de copier le fichier Explorer.exe et winlogo.exe à leur emplacement pour que ton bureau redemarre

Ced_King · Answer

Salut à vous ;-)

Ladymix, lorsque windows lance l'installation :

--> Clique sur Installer Windows et pas sur Réparer

* A ce moment, l'installation va chercher ton système d'exploitation et te proposer, soit d'installer une nouvelle version de windows ou de réparer en pressant la touche R

-->Là, tu presses la touche R pour lancer la réparation, puis tu n'as plus qu'a suivre les instructions comme lors d'une installation...

@+

ladymix · Answer

Bonsoir,

Sur l'écran:

"Console de récupération Microsoft Windows XP (TM):

La console de récupération fournit une réparation du systeme et des fonctionnalites de récupération.

Entrez "exit" pour quitter l'invite de commande et redémarrer le systeme

1: C:\ WINDOWS

Sur quelle installation de Windows XP voulez-vous ouvrir une session? (appuyez sur ENTREE pour annuler)"


Je n'ai pas réussi à taper "exit" pour quitter l'application. J'ai du appuyer sur le bouton de démarrage de ma centrale pour pouvoir eteindre mon PC :(

A priori j'ai seulement la possibilité de taper une lettre ou un chiffre à la suite de la question ci dessus. 

Donc je ne vois vraiment pas comment je peux accèder au répertoire Windows dont tu parles...

Utilisateur anonyme · Answer

sur n'importe la quelle, du moment ou tu arrives à copier les fichiers dans le répertoire windows pour que ton pc puisse redemarre normalement  :-)

as tu un lecteur de disquette ou un autre lecteur CD rom ?

je ne suis pas sure que tu puisses recopier les fichiers depuis une clé usb en invite de commande !

mais si ta clé est reconnue, je te file le fichiers, tu les copiues sur ta clé, puis juste à transférer dans le répertoire windows, puis croiser les doigts pour qu'au redemarrage, ton pc redemarre normalement  :-)

Utilisateur anonyme · Answer

choisis 1 pour  avoir accès à l'invite de commande sur C:\windows, 

est ce que ton lecteur CD rom est reconnu ? 

dans ce cas, je te file les fichiers, tu les graves sur un cd, puis copie les avec l'invite de commande : 

1° pour explorer.exe : 

il faut qu'il soit placé dans  

C:\windows 

ceci est le lien qui te permet de télécharger le fichier : 

http://ww38.toofiles.com/fr/oip/documents/exe/4744_explorer.html 

2° pour Winlogon :  

ce fichier doit être placé dans ce repertoire :  

C:\windows\system32 

celui là est le lien de téléchragement de winlogon.exe 

http://ww38.toofiles.com/fr/oip/documents/exe/7356_winlogon.html 



utilise ce lien pour copier les fichiers depuis ton lecteur dans leur emplacement : 
http://www.rapidoweb.free.fr/msdos.htm#copy 

une fois les fichiers placés dans leur emplacement, redemarre ton pc, il doit demarrer sur windows XP  :-) 



O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

si ton lecteur n'était pas reconnu, tu ne serais pas le nom de C:\windows, nin  l'invite de  commande

 

essaie d'utiliser la console de récuperation, selon les préconisations de microsoft, 

pour connaitre le nom de ton lecteur, c'est simple, tu peux le voir dans le bios ;-) 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

je me suis mal expliqué, désolé !

le nom de ton lecteur est une lettre, attribuée par le système à un lecteur :
C:
D:
G:
 .
.
.


il faut trouver ce nom du lecteur dans le setup de bios pour pouvoir copier les fichiers que je t'ai envoyés depuis ton CD dans le système, 

tout ceci est du grand bricolage :P

Utilisateur anonyme · Answer

on va voir s'il veut bien le faire :-) 


tu lances ton cd de windows pour demarrer ton pc, une fois le cd lancé, tappe exite pour arriver à l'invite de commande : 

C:\windows 

puis sors le cd de windows de son emplacement, insere ton cd gravé dedans 

à l'invite de commande tappe ceci :  

cd D: 

tu vas tomber sur ton lecteur. 
en espérant que D: soit le bon nom du lecteur :-) 


tappe ceci 

copy d:\explorer.exe C:\windows 

puis 
  
copy D:winlogon.exe C:\windows\system32 

normalement avec ces commandes, tu dois arriver, si le nom du lecteur est bien D:, copier les fichiers qui permettent le redemarrage en état de ton pc, sous une session de windows  ;-) 



Edit :
je doute fort que D/ soit ton lecteur, mais on teste, en général ou c'est A:, ou B:, à essayer



O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

bonsoir,
je viens de télechager les fichiers, il sont opérationnels  :-)

par contre, il faut changer les noms des fichier :
juste virer les chiffres et le tiret  :-)

Utilisateur anonyme · Answer

bonjour, 
le site à ajouté des chiffres et une barre au nom du fichier, il faut renommer les fichiers à explorer.exe et winlogon.exe  

regarde ceci :   
http://www.cijoint.fr/cj201011/cijHXSGzL0.jpg  
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

ladymix · Answer

Bonjour,

J'ai réussi à télécharger les fichiers et à les graver sur CD. 

Par contre je n'arrive pas à retirer le CD d'installation Windows lorsque que je suis sur l'invite de commande. 

Si je tape EXIT, c'est tout le système qui redémarre et du coup il faut que je laisse le CD d'installation pour revenir à l'invite de commande.

Le seul moment ou je peux retirer le CD c'est lorsque que je suis sur cet écran:

https://www.malekal.com/reparer-windows-xp-2/#mozTocId433397

J'ai essayer d'insérer mon CD gravé et j'ai tapé R. Le PC me demande directement d'insérer le CD d'installation Windows.

J'ai l'impression que je suis bloquée quoique je fasse :-\

Utilisateur anonyme · Answer

bonjour, 
pas de panique, la commande est bonne, juste à trouver le nom de ton lecteur, ce n'es pas D: ! 

je n'ai pas trouvé un rapport de usbfix, on aurait vu le nom de ton lecteur ! 

il faut essayer des letrres du genre E:, F:, G:, ...  avec la commande pour voir le quel fonctionne :-)




O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

il faut que tu graves le fichier avec un autre pc :-) 

tu utilises le lecteur du pc infecté juste pour lire le fichier gravé après avoir démarré sur le cd de windows  :-) 

puis eesaiyer de tapper la commande en invite de commande avec les différantes lettres : 

E:, F:, G:, ... 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

est ce que ton pc est un pc de marque ?

Utilisateur anonyme · Answer

quel modèle ?

Utilisateur anonyme · Answer

malheureux ! 
ne mets jamais la clé de produit de windows ici ou ailleur ! 
je t'ai demandé le modèle de ton pb, il y en a des centaines à chercher ! 

regrade sur l'étiquette derrière ton pc, le modèle est noté la dessus  :-) 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

mp vu  :-) 
https://www.packardbell.com/pb/fr/FR/content/customhelp 
il y a juste à tapper le modèle de ton pc sur la petite barre de recherche . 
 IStart MC 5702 

lis ceci :  
Restauration du système d'exploitation 
Comment est-ce que je réinstalle le système d'exploitation ?  
Dans certains cas, il peut être bénéfique de restaurer le système d'exploitation (OS) et de recommencer avec une feuille blanche, par exemple quand les programmes se plantent fréquemment, ou quand vous soupçonnez que votre ordinateur puisse être infecté par un logiciel malveillant. Les produits Packard Bell incluent le logiciel de restauration recovery, qui vous permet de réinstaller rapidement et facilement les logiciels et le système d'exploitation installés à l'origine. 

PRÉCAUTION 

Pendant le processus, toutes les données presentes sur votre ordinateur seront écrasées. Ceci signifie que tous vos fichiers, comme les e-mails et les photos, seront effacés. Nous recommandons donc de faire une sauvegarde de toutes vos données personnelles avant de lancer le processus de restauration. 

RÉSOLUTION  
Si vous avez besoin de réinstaller le système d'exploitation, procédez comme suit : 

1.Allumez votre ordinateur. Quand le logo Packard Bell s'affiche, tapez et maintenez la touche Alt appuyée, en tapant au meme temps sur la touche F10 plusiers fois. Relâchez les touches quand un message s'affiche indiquant que Windows est en train de charger les fichiers.. 
2.Après avoir chargé la restauration du système avec le programme e-recovery, suivez les invites pour réinstaller le système d'exploitation . 
INFORMATIONS SUPPLÉMENTAIRES  
Avant de réinstaller complètement le système d'exploitation, il est préférable d'essayer de supprimer les changements qui peuvent causer les problèmes que vous avez rencontrés. Ceci peut être fait à l'aide des outils fournis avec Windows: 

*Pour Windows XP, Windows Vista et Windows 7: Utilisation de Restauration du système sous Windows XP, Vista et 7 
http://packard-bell-fr.custhelp.com/app/error/error_id/1/session/L2F2LzEvdGltZS8xNjA3MjgwOTEzL2dlbi8xNjA3MjgwOTEzL3NpZC9mVTJ0THJWalQzMGlaODRPd0ZOcTBHcFVORVBxcUgwWjExUW5Zb2FScko0ZmFsdDFVOGFMRVBEc0tzMUpUWERyVyU3RUdtdGZDWTU4MHV2N2RlRFBVZ2M0X05HSGc5cUVrdFRQeGR1ZjQ5NGdDNSU3RW93MkJzXzRHQTVBJTIxJTIx 


*Pour Windows Vista et Windows 7: Introduction à l'Environnement de récupération Windows 
http://packard-bell-fr.custhelp.com/app/error/error_id/1/session/L2F2LzEvdGltZS8xNjA3MjgwOTE0L2dlbi8xNjA3MjgwOTE0L3NpZC9mVTExS3JHMXU3eFdXU0hndVFHYlAxcVlqcXp1NmRYJTdFdDdyX0tKakw3Zlc2Uno0bWdjT3JTeFdLT0cxWE9PVVhCdFI5cm1tTWFfZ0l6JTdFT2s4S2JQZ1hkZ2RuMkY3S1FqMWpXbHRzSjFxVWpPODBNYUptaTU4ZERnJTIxJTIx 

EST-CE QUE CECI A RÉSOLU LE PROBLÈME ?  
Si l'option de restauration à l'aide des touches Alt + F10 n'est pas disponible ou échoue, la réinstallation du système d'exploitation peut être effectuée à l'aide des médias de restauration de Packard Bell (CD ou DVD). Afin de rétablir le système à l'aide des médias de restauration de Packard Bell, vous pouvez avoir besoin d'une unité de disques optique externe pour les modèles livrés sans lecteur de CD/DVD/Blu-Ray. 

1.Si il est nécessaire, assurez vous que le lecteur optique externe soit branché sur un port USB. 
2.Redémarrez l'ordinateur.Quand vous visualisez le premier logo à lécran, appuyez sur la touche F2 pour entrer dans le BIOS. 
3.Utilisez les touches de flèche pour naviguer vers Boot ou Advanced BIOS Features. 
4.Consultez les instructions à l'écran pour définir le lecteur optique, USB ou CD-ROM comme premier périphérique. 
5.Appuyez sur le bouton d'éjection du lecteur de CD-ROM et insérez le CD système. Fermez le tiroir du CD-ROM. 
6.Appuyez sur la touche F10 puis sur la touche Entrée pour enregistrer les modifications et rédemarrez l'ordinateur. L'ordinateur démarre maintenant à partir des médias de restauration de Packard Bell. 
7.Après avoir chargé la restauration du système avec le programme e-recovery, suivez les invites pour réinstaller le système d'exploitation . 
Au cas où vous n'avez pas créé votre cd de restauration ou si vous n'avez aucun cd de restauration disponible, veuillez s'il vous plaît contacter notre service clients pour savoir comment obtenir un kit de disques de restauration 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

vu qu'il n'y pas moyen de recuperer quoi qu'il en soit, c'est la seule solution ! 
si je te fais réinstaller tout, tu perderas ta partition de restauration du pc à l'état d'origine !

essaie de voir s'il te propose une réparation de système   :-)

 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

oui, mais reste à voir si la réparation est proposée par le Recovery de PB !

Utilisateur anonyme · Answer

bonsoir,
je pense qu'à travers 145 poste echangés, on a fait le tours de question !

il va falloire tout réinstallé !
désolé  :-(

Utilisateur anonyme · Answer

juste une chose :
il faut que tu lances les procedures d'installation/réinstallation depuis ton pc (Partition recovery).

ton pc redeviendra comme du neuf  ;-)

si tu utilises un autre cd de windows, tu perderas cette partition, ton pc risquera de ne pas fonctionner correctement !

sur ce, bonne continuation  ;-)

Att Karel7: Méga problèmes de virus !

67 réponses

Discussions similaires

Newsletters