Sujet Précédent Sujet Suivant

Virus? deskstop security 2010 à désinstaller?

Fermé
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010 - 27 sept. 2010 à 01:10
 Utilisateur anonyme - 21 oct. 2010 à 11:14
Bonjour,





Bonjour, deskstop security 2010 s'est installer sur mon PC sans prévenir mais en prévenant que j'ai un virus... seulement mon programme de protection est VirusScan. Comment faire pour désinstaller deskstop security 2010 s'il est nocif?

Voici mon rapport ci-dessous:

Logfile of HijackThis v1.99.1
Scan saved at 00:57:03, on 27/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\DOCUME~1\CLINE&~1\LOCALS~1\Temp\pdfupd.exe
c:\program files\bittornado\python23python23.exe
c:\program files\fichiers communs\microsoft shared\dw\1033\microsoftapplication.exe
c:\program files\hp\digital imaging\skins\oov1\sc\css\dummycompany.exe
c:\program files\office\office11\queries\cotationsinvestor.exe
C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\Desktop Security 2010.exe
C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\CCleaner\ccleaner.exe
C:\HijackThis.exe
C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\Desktop Security 2010.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [ContentContentDATs] C:\DOCUME~1\CLINE&~1\LOCALS~1\Temp\pdfupd.exe
O4 - HKLM\..\Run: [HewlettPackarddummy] c:\program files\hp\digital imaging\skins\oov1\sc\css\dummycompany.exe
O4 - HKLM\..\RunServices: [McAfeeContent] C:\DOCUME~1\CLINE&~1\LOCALS~1\Temp\pdfupd.exe
O4 - HKLM\..\RunServices: [python23btdownloadgui] c:\program files\bittornado\python23python23.exe
O4 - HKLM\..\RunServices: [MicrosoftCotations] c:\program files\office\office11\queries\cotationsinvestor.exe
O4 - HKLM\..\RunServices: [WBHELP64DirectSkin] c:\program files\ati technologies\ati.ace\core-implementation\64\directskindshelp645000.exe
O4 - HKLM\..\RunServices: [ErrorApplication11.0.5510] c:\program files\fichiers communs\microsoft shared\dw\1033\microsoftapplication.exe
O4 - HKLM\..\RunServices: [msconv97Microsoft] c:\program files\fichiers communs\microsoft shared\textconv\msconv97microsoft.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKCU\..\Run: [j1awgnurfnbs] C:\Documents and Settings\Céline & Fabien\Local Settings\Temp\m.21D.tmp.exe
O4 - HKCU\..\Run: [Desktop Security] "C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\Desktop Security 2010.exe" /STARTUP
O4 - HKCU\..\Run: [SecurityCenter] C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {45391ABA-B53F-4D96-BAD8-707272110A61} (SP1MyPix.SP1Contacts) - http://www.mypixmania.com/fr/fr/mon_compte/SP1MyPix.CAB
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.mypix.com/fr/fr/fw_model/domain/library/aurigma/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4AD220C-F9A2-44A9-AE69-76997A7C6079}: NameServer = 80.10.246.130 81.253.149.10
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

merci pour votre aide précieuse.
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
Utilisateur anonyme
27 sept. 2010 à 01:58
salut desinstalle spybot


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 2 / 30
CMP Messages postés 1947 Date d'inscription jeudi 10 janvier 2008 Statut Membre Dernière intervention 5 décembre 2015 350
27 sept. 2010 à 02:02
Salut,
essai de cetta façon: ouvre gestionnaire de tâches par Ctrl+Alt+Delete ou tappe taskmgr dans Démarrer/Executer et une fois ouvert, clic sur Processus et arrête les processus suivants;
Desktop Security 2010.exe
securitycenter.exe

Ensuite lance Malwarebytes ( j'ai vue que tu l'a déjà installé) et il devrait eliminer tous les traits qui ont rapport avec ce faux antivirus.
Si ça ne fonctionne pas démarre en mode sans echec.
0
Utilisateur anonyme
27 sept. 2010 à 02:04
malheureusement malwarebytes n'enleve pas tout....
0
CMP Messages postés 1947 Date d'inscription jeudi 10 janvier 2008 Statut Membre Dernière intervention 5 décembre 2015 350
27 sept. 2010 à 14:27
Salut,
je n'avais pas vue que t'avais déjà répondu, ça arrive souvent sur ce forum, qu'on ne voie pas immediatement les réponses, faut croir qu'il y a un délias d'affichage après le poste du message.
Je sais bien qu'avec ta procedure c'est peut-être plus efficace pour erradiquer tous les traits, mais pour bien du monde ça parrait plus compliqué, c'est pour cette raison que je donne Malwarebytes et dans la plupart des cas, si mbam a été mis a jour avant le lancement et si executé en mode sans echec il neutralise et rends inoffensives ces fake antivirus de ce genre.
0
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
28 sept. 2010 à 00:33
Bonjour,

J'ai utilisé combofix en respectant tes consignes Gen-hackman, merci. (le logiciel annonce 10 min de balayage c'était environ 70min)
Les icones de desktop security est encore présent mais il ne s'ouvre plus quand jouvre une page internet. Dois je maintenant suivre les conseils de CMP pour le désinstaller et actionner Malwerbytes
Voici le rapport de combofix, j'espere qu'il n'est pas tronqué car j'ai eu une coupure de courant au moment de l'écriture du rapport.

ComboFix 10-09-26.04 - Céline & Fabien 28/09/2010 0:01.6.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.342 [GMT 2:00]
Lancé depuis: c:\documents and settings\Céline & Fabien\Bureau\fab.exe
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\docume~1\CLINE&~1\LOCALS~1\Temp\pdfupd.exe
c:\program files\Antivirus
c:\program files\Antivirus\4695xdat.zip
c:\program files\Antivirus\sdat4695.zip
c:\program files\Antivirus\vsc451l.zip
c:\program files\Antivirus\vsc451lfrs1.zip
c:\program files\Antivirus\vse710fr.zip
c:\program files\ATI Technologies\ATI.ACE\Core-Implementation\64\DirectSkinDSHELP645000.exe
c:\program files\BitTornado\python23python23.exe
c:\program files\fichiers communs\microsoft shared\dw\1033\microsoftapplication.exe
c:\program files\Fichiers communs\Microsoft Shared\TextConv\msconv97Microsoft.exe
c:\program files\hp\digital imaging\skins\oov1\sc\css\dummycompany.exe
c:\program files\Office\OFFICE11\QUERIES\CotationsInvestor.exe
c:\windows\patch.exe
c:\windows\system32\AutoRun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-27 au 2010-09-27 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 22:07 . 2009-03-05 09:47 39393312 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-09-27 21:58 . 2005-08-20 23:24 -------- d-----w- c:\program files\Wanadoo
2010-09-27 21:50 . 2010-09-27 21:53 2082816 ----a-w- c:\windows\Internet Logs\xDB3.tmp
2010-09-27 21:47 . 2005-11-13 14:55 -------- d-----w- c:\program files\BitTornado
2010-09-27 19:29 . 2010-01-30 15:41 4976436 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-09-27 19:28 . 2009-03-05 09:47 464888 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-09-27 11:30 . 2008-01-21 05:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-27 11:30 . 2008-01-21 05:15 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2010-09-21 17:58 . 2009-12-21 14:58 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-27 05:31 . 2010-08-27 05:31 -------- d-----w- c:\program files\Uniblue
2010-08-21 11:10 . 2010-08-22 19:17 1999872 ----a-w- c:\windows\Internet Logs\xDB2.tmp
2010-08-18 12:11 . 2001-08-28 12:00 81386 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-18 12:11 . 2001-08-28 12:00 503238 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-17 13:17 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-11 17:52 . 2010-08-11 17:52 44449 ----a-w- c:\windows\Internet Logs\zlclient_2nd_2010_08_10_16_19_40_small.dmp.zip
2010-08-11 17:52 . 2010-08-11 17:52 44284 ----a-w- c:\windows\Internet Logs\zlclient_2nd_2010_08_10_16_06_56_small.dmp.zip
2010-07-22 15:48 . 2005-07-28 09:32 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:32 . 2001-08-28 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2007-09-01 13:31 . 2007-09-01 13:31 124 ----a-w- c:\program files\keyfinder.txt
2006-08-10 17:16 . 2006-08-10 17:17 2206 ----a-w- c:\program files\WPA.DBL
2006-08-10 11:58 . 2006-08-10 17:15 70 ----a-w- c:\program files\pro fl.txt
2009-03-22 15:25 . 2009-03-22 15:25 75 --sh--r- c:\windows\ICMET20.BIN
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2010-07-27 67456]
"SecurityCenter"="c:\documents and settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe" [2010-09-26 283648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2003-09-29 81990]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2003-09-10 135251]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-10-13 24576]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-09-12 98304]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2004-10-13 49152]
"NBKeyScan"="c:\program files\Nero\Nero BackItUp 4\NBKeyScan.exe" [2008-09-24 2254120]
"PCLEPCI"="c:\progra~1\PINNAC~1\PPE\PPE.EXE" [2003-09-23 32768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2005-8-21 962661]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [28/07/2005 10:14 24971]
R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01/08/2003 14:47 29239]
S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 14:49 227232]
S3 W8100XP;Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ;c:\windows\system32\drivers\mrv8ka51.sys [28/07/2005 10:21 327680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
getPlusHelper REG_MULTI_SZ getPlusHelper

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-09-27 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-08-27 09:11]

2010-09-27 c:\windows\Tasks\User_Feed_Synchronization-{12519930-1382-4F5B-985F-B2310A655C13}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uStart Page = hxxp://www.orange.fr
DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} - hxxp://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
DPF: {45391ABA-B53F-4D96-BAD8-707272110A61} - hxxp://www.mypixmania.com/fr/fr/mon_compte/SP1MyPix.CAB
DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} - hxxp://www.pixdiscount.fr/clients/ImageUploader3.cab
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKLM-Run-HewlettPackarddummy - c:\program files\hp\digital imaging\skins\oov1\sc\css\dummycompany.exe
HKLM-Run-dummyHewlettPackard - c:\program files\hp\digital imaging\skins\oov1\sc\css\dummycompany.exe
HKLM-Run-ReportingDWIntl20 - c:\program files\fichiers communs\microsoft shared\dw\1033\microsoftapplication.exe
SafeBoot-AVG Anti-Spyware Driver
AddRemove-Ad-aware 6 Professional - c:\progra~1\Lavasoft\AD-AWA~1\UNWISE.EXE
AddRemove-DVD Decrypter - c:\program files\DVD Decrypter\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-28 00:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2976)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-09-28 00:10:13
ComboFix-quarantined-files.txt 2010-09-27 22:10

Avant-CF: 4 526 559 232 octets libres
Après-CF: 4 548 333 568 octets libres

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - F9656EB50C02A676CFCCE8B6B7B0A6E8


Merci pour votre aide.
. Dois je maintenant suivre les conseils de CMP pour le désinstaller completement et actionner Malwerbytes
0
Réponse 3 / 30
Utilisateur anonyme
28 sept. 2010 à 12:35
salut non pas maintenant

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 4 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
30 sept. 2010 à 01:13
Bonjour gen-hackman, oui on peut le dire (vue l'heure)!!!
De retour de déplacement donc je m'empresse de te coller les deux liens.

http://www.cijoint.fr/cjlink.php?file=cj201009/cijaJyEN2O.txt

http://www.cijoint.fr/cjlink.php?file=cj201009/cijHeU7t50.txt

Je reçois toujours des messages de Desktop Security 2010 sous forme de pop up, est-ce normal?

Cordialement.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
Utilisateur anonyme
30 sept. 2010 à 01:45
non

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
0
Réponse 6 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
30 sept. 2010 à 10:08
bonjour,

Voici le lien...
list..
http://www.cijoint.fr/cjlink.php?file=cj201009/cijYVKfAMT.txt

et pour more:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijyfkNINJ.txt

slts
0
Réponse 7 / 30
Utilisateur anonyme
30 sept. 2010 à 11:53
1/.............

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

observe ton bureau une icône "Script" s'est rajouté sur ton bureau

▶ crée un nouveau document texte sur ton bureau et copie/colle ce en gras si dessous :


PROC:securitycenter.exe
REST:C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe_C:\securitycenter.exe.vir
ADD:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveTypeAutoRun" /t REG_DWORD /d 145
ADD:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveAutoRun" /t REG_DWORD /d 0
REM:"HKEY_CURRENT_USER\software\Desktop Security"

▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

▶ effectue un glisser/deposer de ce fichier sur l'icone "Script"

laisse travailler l'outil

poste le resultat

▶ Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

==========================

2/...............

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
Réponse 8 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
30 sept. 2010 à 23:43
voici le rapport "script":

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Céline & Fabien (Administrateurs)
Update on 29/09/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 20:18:45 | 30/09/2010

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

C:\ -> Disque fixe local | 39,06 Go (4,07 Go free) | NTFS
F:\ -> Disque fixe local | 55,01 Go (49,26 Go free) [Divers] | NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local | 19,53 Go (14,18 Go free) [Photos] | NTFS
I:\ -> Disque fixe local | 39,06 Go (23,9 Go free) [Film] | NTFS

Switch : "C:\Documents and Settings\Céline & Fabien\Bureau\mauricegas.Txt"

¤¤¤¤¤¤¤¤¤¤ Processes


¤¤¤¤¤¤¤¤¤¤ Added Keys

Added : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveTypeAutoRun" /t REG_DWORD /d 145
Added : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveAutoRun" /t REG_DWORD /d 0

¤¤¤¤¤¤¤¤¤¤ Removed Keys

Deleted : HKEY_CURRENT_USER\software\Desktop Security"

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted


¤¤¤¤¤¤¤¤¤¤ Drivers deleted



¤¤¤¤¤¤¤¤¤¤ Object Restored

C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe | C:\securitycenter.exe.vir Restored Successfully

¤¤¤¤¤¤¤¤¤¤ Folder List


¤¤¤¤¤¤¤¤¤¤ Read File


¤¤¤¤¤¤¤¤¤¤ Sign control




¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


J'ai lancé l'Option Clean dans List_Kill'em et le programme a l'air de planter depuis 2h maintenant (20% du balayage) et sur un fichier "yocpyckx.exe" est ce normal?
0
Réponse 9 / 30
Utilisateur anonyme
30 sept. 2010 à 23:50
protections desactivées ?

peux-tu m'envoyer ce fichier zippé via cijoint.fr

C:\securitycenter.exe.vir
0
Utilisateur anonyme
Modifié par gen-hackman le 30/09/2010 à 23:52
de plus relance un script avec juste ca dedans

FILE:C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security
0
Réponse 10 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
1 oct. 2010 à 07:51
voici le fichier zippé dans ci-joint:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijZ9FKVWV.zip


et voici le résultat du script avec: "FILE:C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security"
-----------------------------------------------------------------------------

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Céline & Fabien (Administrateurs)
Update on 29/09/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 07:48:34 | 01/10/2010

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

C:\ -> Disque fixe local | 39,06 Go (4,07 Go free) | NTFS
F:\ -> Disque fixe local | 55,01 Go (49,26 Go free) [Divers] | NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local | 19,53 Go (14,18 Go free) [Photos] | NTFS
I:\ -> Disque fixe local | 39,06 Go (23,9 Go free) [Film] | NTFS

Switch : "C:\Documents and Settings\Céline & Fabien\Bureau\mauricegas.txt"

¤¤¤¤¤¤¤¤¤¤ Processes


¤¤¤¤¤¤¤¤¤¤ Added Keys


¤¤¤¤¤¤¤¤¤¤ Removed Keys


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted


¤¤¤¤¤¤¤¤¤¤ Drivers deleted



¤¤¤¤¤¤¤¤¤¤ Object Restored


¤¤¤¤¤¤¤¤¤¤ Folder List


¤¤¤¤¤¤¤¤¤¤ Read File


¤¤¤¤¤¤¤¤¤¤ Sign control




¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


dois je relancer l'option Clean maintenant?
0
Réponse 11 / 30
Utilisateur anonyme
1 oct. 2010 à 12:45
non refais un scan OTL stp
0
Réponse 12 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
1 oct. 2010 à 13:21
voici les fichiers demandés dans ci-joint:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijhs2eDnw.txt

extra:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijdUjXEDM.txt
0
Réponse 13 / 30
Utilisateur anonyme
1 oct. 2010 à 13:40
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
securitycenter.exe

:OTL
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKU\S-1-5-21-1004336348-861567501-682003330-1003..\Run: [SecurityCenter] C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"QuickTime Task"=-


:Files
C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security
C:\WINDOWS\System32\dllcache\spoolsv.exe
C:\securitycenter.exe.zip
C:\securitycenter.exe.vir
C:\WINDOWS\randseed.rnd
C:\Documents and Settings\Céline & Fabien\Application Data\Microsoft\Internet Explorer\Quick Launch\Desktop Security.lnk
@Alternate Data Stream - 88 bytes -> C:\securitycenter.exe.vir:SummaryInformation


:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
0
Réponse 14 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
1 oct. 2010 à 19:46
Voici le rapport voulu, l'icone de Desktop Security 2010 à disparu.


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
No active process named securitycenter.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ not found.
File C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll not found.
Registry value HKEY_USERS\S-1-5-21-1004336348-861567501-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\SecurityCenter not found.
File C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securitycenter.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NeroFilterCheck not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task not found.
========== FILES ==========
C:\Documents and Settings\Céline & Fabien\Application Data\Desktop Security folder moved successfully.
C:\WINDOWS\System32\dllcache\spoolsv.exe moved successfully.
C:\securitycenter.exe.zip moved successfully.
C:\securitycenter.exe.vir moved successfully.
C:\WINDOWS\randseed.rnd moved successfully.
C:\Documents and Settings\Céline & Fabien\Application Data\Microsoft\Internet Explorer\Quick Launch\Desktop Security.lnk moved successfully.
Unable to delete ADS C:\securitycenter.exe.vir:SummaryInformation .
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: All Users.WINDOWS

User: Céline & Fabien
->Temp folder emptied: 2671336 bytes
->Temporary Internet Files folder emptied: 25622754 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 678 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 1850752 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 50430836 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 55908 bytes
RecycleBin emptied: 753113 bytes

Total Files Cleaned = 78,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10012010_192758

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\Céline & Fabien\Local Settings\Temp\~DF4AA3.tmp not found!
File\Folder C:\Documents and Settings\Céline & Fabien\Local Settings\Temp\~DF4B34.tmp not found!
File\Folder C:\WINDOWS\temp\ZLT0012a.TMP not found!
File\Folder C:\WINDOWS\temp\ZLT0012d.TMP not found!

Registry entries deleted on Reboot...


Merci, je pense que nous en avons terminé avec ce programme qui n'apparait plus. Y a t il autres chose à faire?
0
Réponse 15 / 30
Utilisateur anonyme
1 oct. 2010 à 22:30
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge ici :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 16 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
13 oct. 2010 à 19:58
Bonjour Gen-hackman, je suis de retour de déplacement.

Voici le rapport de malwarbytes de ce jour:

-----------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4739

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/10/2010 19:42:09
mbam-log-2010-10-13 (19-42-09).txt

Type d'examen: Examen complet (C:\|F:\|H:\|I:\|)
Elément(s) analysé(s): 223418
Temps écoulé: 8 heure(s), 29 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Security (Rogue.DesktopSecurity) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Program Files\ATI Technologies\ATI.ACE\Core-Implementation\64\DirectSkinDSHELP645000.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Program Files\BitTornado\python23python23.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Program Files\Fichiers communs\Microsoft Shared\DW\1033\MicrosoftApplication.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Program Files\Fichiers communs\Microsoft Shared\TextConv\msconv97Microsoft.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Program Files\HP\Digital Imaging\Skins\oov1\sc\css\dummyCompany.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Program Files\Office\OFFICE11\QUERIES\CotationsInvestor.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C79114C5-1CC2-4D8D-8E1F-E9014B913719}\RP841\A0138517.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C79114C5-1CC2-4D8D-8E1F-E9014B913719}\RP841\A0138518.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C79114C5-1CC2-4D8D-8E1F-E9014B913719}\RP841\A0138519.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C79114C5-1CC2-4D8D-8E1F-E9014B913719}\RP841\A0138520.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C79114C5-1CC2-4D8D-8E1F-E9014B913719}\RP841\A0138521.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C79114C5-1CC2-4D8D-8E1F-E9014B913719}\RP841\A0138522.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\10012010_192758\C_Documents and Settings\Céline & Fabien\Application Data\Desktop Security\securityhelper.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Céline & Fabien\Menu Démarrer\Programmes\Desktop Security.LNK (Rogue.DesktopSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\Céline & Fabien\Menu Démarrer\Programmes\Desktop Security\Activate Desktop Security.lnk (Rogue.DesktopSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\Céline & Fabien\Menu Démarrer\Programmes\Desktop Security\Desktop Security.lnk (Rogue.DesktopSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\Céline & Fabien\Menu Démarrer\Programmes\Desktop Security\Help Desktop Security.lnk (Rogue.DesktopSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\Céline & Fabien\Menu Démarrer\Programmes\Desktop Security\How to Activate Desktop Security.lnk (Rogue.DesktopSecurity) -> Quarantined and deleted successfully.
0
Réponse 17 / 30
Utilisateur anonyme
13 oct. 2010 à 20:07
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

Clic sur "Update" puis

retente le "clean"
0
Réponse 18 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
13 oct. 2010 à 22:48
Gen-Hackman
J'ai désactivé l'antivirus, updaté et lancé Clean dans List_Kill'em et le programme a l'air de planter encore une fois sur un fichier "C:\documents abd settings\Cùline & fabien\yocpyckx.exe"(20% du balayage) faut il patienter encore (déja une heure...)?
0
Réponse 19 / 30
Utilisateur anonyme
13 oct. 2010 à 22:50
désactivé zone alarm aussi ?
0
Réponse 20 / 30
mauricegas Messages postés 19 Date d'inscription dimanche 28 octobre 2007 Statut Membre Dernière intervention 21 octobre 2010
14 oct. 2010 à 23:09
zone alarm désactivé et après plusieurs tentatives c'est toujours pareil.

ça bloque sur C:\documents abd settings\Cùline & fabien\yocpyckx.exe"
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Désinstaller Opera
Web. -
Web. -

3 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse