Virus Win32

Question

Bonjour, 

Un virus Win32 Me Bloque Tout mes logiciel ... et presque tout sur mon ordi. Je n'arrive pas à l'enlever, quand j'ouvre par exemple photofiltre sa marque : 
"C:/ProgramFiles/PhotoFilre.exe n'est pas une application Win32 valide."
Et quand je vais dans "comptes d'utilisateurs" ou même "Exécuter..." et bien sa marque le même mot. Comment faire ?
Merci.

Configuration: Windows XP / Internet Explorer 7.0

moment de grace · Accepted Answer

ah on va pas rire alors

essaie celui ci dont j'ai changé l'extention

http://dl.free.fr/getfile.pl?file=/qd1BMnUt

kenza · Answer

Merci de me répondre au plus vite s'il vous plaît.

moment de grace · Answer

bonjour

* Téléchargez FindyKill sur le Bureau. 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe 

Mirroir : 

http://findykill.changelog.fr/Setup.exe 

* Double-cliquez sur FindyKill présent sur le Bureau. 

* Choisissez l'option 1 (Recherche). 

* Laissez travailler l'outil. 

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider). 

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt). 

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

kenza · Answer

Mais quand je double clique sur FindyKill sa marque "Executer ou Annuler" et j'ai mis executer et sa remarque que c'est pas une application Win32 Valide.

kenza · Answer

Ok la c'est en train d'analyser puis il m'on dit pour la langue donc j'ai mit F comem Francais (c'étais écris dans les choix) puis sa me marque 

FindyKill V5.050

1 # Recherche .
2 # Suppression .
3 # Tutorial .
4 # Désinstaller .
Q # Quitter .

 Je dois cliquer sur lequel ?

moment de grace · Answer

ok 

relances le 

et fais l'option suppression 

poste le rapport 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

kenza · Answer

Ok mais euh la je suis sur mon ordi portable , et sur mon autre ordi (celui avec le virus), et bien c'est normal qui met longtemps a analyser car il est qu'a 30 % depuis tout a l'heure ^^

moment de grace · Answer

remove all

moment de grace · Answer

poste moi le rapport surtout

 le rapport est sauvegardé aussi sous C:\FindyKill.txt)

kenza · Answer

Ou trouver le rapport ??

moment de grace · Answer

je dois couper pour ce soir 

pour demain trouve ce rapport findikill stp 

et de plus 

Télécharge ZHPDiag ( de Nicolas coolman ).  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

 
(outil de diagnostic) 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 
  
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )  

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.  

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.  

Rend toi sur Cjoint : http://www.cijoint.fr/  

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 





CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

kenza · Answer

Ok a demain . mais tu sera la vers quel heure ?

kenza · Answer

C'est Bien sa le C:\FindyKill.txt : 

############################## | FindyKill V5.050 | 

# User : Propriétaire (Administrateurs) # PROPRI-C13BA575 
# Update on 03/09/2010 by El Desaparecido 
# Start at: 21:11:45 | 02/10/2010 
# Website : http://pagesperso-orange.fr/NosTools/index.html 
# Contact : FindyKill.Contact@gmail.com 

# AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ 
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 
# Internet Explorer 8.0.6001.18702 
# Windows Firewall Status : Enabled 
# AV : avast! Antivirus 5.0.83886757 [ Enabled | Updated ] 

# A:\ # Lecteur de disquettes 3 ½ pouces 
# C:\ # Disque fixe local # 298,08 Go (185,35 Go free) # NTFS 
# D:\ # Disque CD-ROM 
# F:\ # Disque amovible 
# G:\ # Disque amovible 
# H:\ # Disque amovible 
# I:\ # Disque amovible 
# J:\ # Disque CD-ROM 

################## | Eléments infectieux | 

Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf  
Supprimé ! C:\Documents and Settings\Propri'taire\Cookies\propri'taire@www.serial-shoppeuse[1].txt  

################## | CRC32 ... |

moment de grace · Answer

Rend toi sur Cjoint : http://www.cijoint.fr/  

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "  

Sélectionne le rapport Findykill (suppression) 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

kenza · Answer

Sa me marque : "Les fichiers avec l'extension .exe ne peuvent pas être déposés !"
Comment le mettre en : ".odt", ".ods", ".odp", ".odg", ".odb", ".sxc", ".sxw", ".sxi", ".sxd", ".oxt" 
".txt", ".pdf", ".zip", ".mid" ,".ogg", ".png", ".jpg", ".gif", 
".doc", ".docx", ".docm", ".xls", ".xlsx", ".ppt", ".pptx", ".xlsm", ".pps" ou ".rtf" ? qui sont biensur les format accepté!

moment de grace · Answer

c'est celui là qu'il me faut par ci joint  C:\FindyKill.txt

kenza · Answer

Je ne le trouve pas ^^ dois-je le retélécharger ?

moment de grace · Answer

ok

le rapport n'est pas conforme

redemarre en mode sans echec 

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

et refais findykill, option suppression

puis poster le rapport

kenza · Answer

mais j'arrive pas a mettre mode sans echec en le redémarrant ^^ on ne me propose rien ^^

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  que tu renommes KENZA.exe avant de l'enregistrer  sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets  internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

kenza · Answer

Je ne sais meme pas par où commencer ^^ c'est long ! ^^

moment de grace · Answer

redémarrer le pc en mode sans échec avec prise en charge réseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 


une fois qu'il aura terminé, retente combofix

Kenza · Answer

Merci. Voilà le rapport de Combofix : ComboFix 10-10-03.03 - Propriétaire 04/10/2010 19:03:28.1.2 - x86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.959.699 [GMT 2:00] Lancé depuis: c:\documents and settings\Propriétaire\Bureau\KENZA.exe AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 c:\documents and settings\All Users\Application Data\QueryExplorer c:\documents and settings\All Users\Application Data\QueryExplorer\queryexplorer117.exe c:\documents and settings\Propriétaire\Application Data\download2 c:\documents and settings\Propriétaire\Application Data\download2\svcnost .exe c:\documents and settings\Propriétaire\Application Data\download2\svcnost.exe c:\documents and settings\Propriétaire\Application Data\facemoods.com c:\program files\facemoods.com c:\program files\facemoods.com\facemoods\1.3.62.1\facemoods.crx c:\program files\facemoods.com\facemoods\1.3.62.1\facemoods.dll c:\program files\facemoods.com\facemoods\1.3.62.1\facemoods.png c:\program files\facemoods.com\facemoods\1.3.62.1\facemoodsApp.dll c:\program files\facemoods.com\facemoods\1.3.62.1\facemoodsEng.dll c:\program files\facemoods.com\facemoods\1.3.62.1\facemoodssafe.dll c:\program files\facemoods.com\facemoods\1.3.62.1\facemoodsTlbr.dll c:\program files\facemoods.com\facemoods\1.3.62.1\uninstall.exe c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\chrome.manifest c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\components\FFHst.dll c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\components\FFHst.xpt c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\facemoods.css c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\facemoods.png c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\facemoods.xul c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\fcmdDef.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\facemoods.png c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\fb.gif c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\help_16.gif c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\home.gif c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\logo.png c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\moodsIcon.png c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\pref.jpg c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\privecy_16_hot.gif c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\stripicons.png c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images ellafriend.gif c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\Thumbs.db c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\images\vssver.scc c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\instlgc.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\Loader.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\mtrprt.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content ewTabLgc.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\preferences\preferences.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\preferences\preferences.xul c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\preferences\vssver.scc c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\prefman.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\script-compiler.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\Thumbs.db c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\utils.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\vssver.scc c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\xmlhttprequester.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\content\xpiInstallLgc.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\defaults\preferences\instlPref.js c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\defaults\preferences\vssver.scc c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\install.rdf c:\program files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com\vssver.scc c:\program files\QueryExplorer c:\program files\QueryExplorer\queryexplorer.dll c:\program files\QueryExplorer\queryexplorer.exe c:\program files\QueryExplorer\uninstall.exe c:\windows\svchost.com c:\windows\system32\krambst.dll c:\windows\system32\DRIVERS\WudfPf.sys . . . est infecté!! . . . Impossible de trouver un substitut valide. . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_QUERYEXPLORER_SERVICE -------\Service_QueryExplorer Service ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-04 au 2010-10-04 )))))))))))))))))))))))))))))))))))) . 2010-10-02 18:53 . 2010-10-02 20:25 -------- d-----w- C:\FyK 2010-09-29 00:28 . 2010-09-29 00:28 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Identities 2010-09-28 10:43 . 2010-09-28 10:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache 2010-09-28 08:33 . 2010-09-28 08:33 -------- d-----r- c:\documents and settings\NetworkService\Favoris 2010-09-27 23:50 . 2010-09-27 23:50 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache 2010-09-20 21:53 . 2010-09-20 21:53 -------- d-----w- c:\program files\Xvid 2010-09-20 21:53 . 2010-09-29 00:58 -------- d-----w- c:\documents and settings\All Users\Application Data\ClickPotatoLiteSA 2010-09-20 21:53 . 2010-09-20 21:53 -------- d-----w- c:\program files\ClickPotatoLite 2010-09-20 21:52 . 2010-09-20 21:52 -------- d-----w- c:\program files\ShopperReports3 2010-09-08 21:46 . 2010-09-28 22:23 103176 ----a-w- c:\documents and settings\All Users\Application Data\QuestDns\questdns117.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-04 16:57 . 2010-06-07 19:24 -------- d-----w- c:\program files\QuickTime 2010-10-04 16:56 . 2010-06-07 19:24 -------- d-----w- c:\program files\iTunes 2010-10-02 18:06 . 2010-10-01 14:51 112 ----a-w- c:\documents and settings\All Users\Application Data\S7U4RY.dat 2010-09-28 22:23 . 2010-06-24 17:18 298729 ----a-w- c:\documents and settings\Propriétaire\Application Data\OpenCandy\1A0F515BC11E43F49C838EE262121171\Dlmgr3WrapperBuyObaB.exe 2010-09-28 22:23 . 2010-03-15 17:01 747182 ----a-w- c:\documents and settings\Propriétaire\Application Data\OpenCandy\1A0F515BC11E43F49C838EE262121171\Buyobab-116.exe 2010-09-28 22:23 . 2010-06-07 21:04 1998280 ----a-w- c:\documents and settings\Propriétaire\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe 2010-09-28 22:23 . 2009-02-04 11:56 116584 ----a-w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\DifXInstall32.exe 2010-09-28 22:23 . 2010-06-09 08:06 372648 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\8802\ReaderUpdater.exe 2010-09-28 22:23 . 2010-06-09 08:06 372648 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\8802\AcrobatUpdater.exe 2010-09-28 22:23 . 2010-06-09 08:06 1018304 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\8802\AdobeARM.exe 2010-09-28 22:23 . 2010-04-24 16:33 114472 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe 2010-09-28 22:23 . 2010-03-24 08:04 994240 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\25681\AdobeARM.exe 2010-09-28 22:23 . 2010-03-24 08:04 367528 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\25681\ReaderUpdater.exe 2010-09-28 22:23 . 2010-03-24 08:04 367528 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\25681\AcrobatUpdater.exe 2010-09-15 14:41 . 2010-06-08 13:11 16280 ---ha-w- c:\windows\system32\mlfcache.dat 2010-09-10 06:56 . 2010-06-09 22:06 -------- d-----w- c:\program files\BitTorrent 2010-09-09 09:45 . 2010-06-07 10:36 -------- d-----w- c:\program files\Microsoft Silverlight 2010-09-08 22:56 . 2010-08-16 01:21 -------- d-----w- c:\program files\QuestDns 2010-09-08 22:56 . 2010-08-16 01:21 -------- d-----w- c:\documents and settings\All Users\Application Data\QuestDns 2010-09-07 15:12 . 2010-07-09 06:59 38848 ----a-w- c:\windows\avastSS.scr 2010-09-07 15:11 . 2010-06-03 11:33 167592 ----a-w- c:\windows\system32\aswBoot.exe 2010-09-07 14:52 . 2010-06-03 11:33 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2010-09-07 14:52 . 2010-06-03 11:33 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys 2010-09-07 14:47 . 2010-06-03 11:33 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2010-09-07 14:47 . 2010-06-03 11:33 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2010-09-07 14:47 . 2010-06-03 11:33 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys 2010-09-07 14:47 . 2010-06-03 11:33 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2010-09-07 14:46 . 2010-06-03 11:33 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2010-08-27 00:07 . 2010-06-24 17:19 -------- d-----w- c:\program files\ReducBarre 2010-08-17 13:17 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-16 17:53 . 2010-08-16 00:07 -------- d-----w- c:\program files\CrazyLoader 2010-08-16 00:07 . 2010-08-16 00:07 -------- d-----w- c:\program files\OfferBox 2010-08-16 00:06 . 2010-08-16 00:06 3 ----a-w- C: .tmp 2010-08-13 00:32 . 2006-03-02 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat 2010-08-13 00:32 . 2006-03-02 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat 2010-07-22 15:48 . 2006-03-02 12:00 590848 ----a-w- c:\windows\system32 pcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-07-09 12:26 . 2010-07-09 12:26 697328 ----a-w- c:\windows\system32\drivers\sptd.sys . [code]

c:\program files\ClickPotatoLite\bin\10.0.529.0\ClickPotatoLiteSA .exe
c:\program files\iTunes\iTunesHelper .exe
c:\program files\QuickTime\qttask .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}] 2010-07-21 12:59 135000 ----a-w- c:\program files\OfferBox\OfferBoxBHO.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080] "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" [2009-11-15 33120] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DriverCD"="J:\Run.exe" [N/A] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944] "nwiz"="nwiz.exe" [2006-10-31 1622016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016] "RTHDCPL"="RTHDCPL.EXE" [2008-12-09 18063872] "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912] "EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304] "download"="c:\documents and settings\Propriétaire\Application Data\download2\svcnost.exe" [N/A] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] [HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.2.lnk] path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress] NA [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-06-09 08:06 976832 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-12-21 23:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader eader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-13 17:34 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] 2006-12-05 20:55 54832 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel] 2008-03-17 15:59 2289664 ----a-w- c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2006-11-23 13:10 56928 ------w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-01-11 13:21 246504 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CrazyLoader\crazyloader.exe"= "c:\Program Files\Java\jre6\bin\javaw.exe"= "c:\Program Files\Java\jre6\bin\javaws.exe"= "c:\Program Files\Java\jre6\launch4j-tmp\crazyloader.exe"= R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03/06/2010 13:33 165584] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/06/2010 13:33 17744] S2 QuestDns Service;QuestDns Service;c:\documents and settings\All Users\Application Data\QuestDns\questdns117.exe [08/09/2010 23:46 103176] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09/07/2010 14:26 697328] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2008-03-17 15:56 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe . Contenu du dossier 'Tâches planifiées' 2010-10-01 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50] 2010-10-04 c:\windows\Tasks\User_Feed_Synchronization-{068DA097-F062-4BE2-9CD0-F7DC342D4251}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: {{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - {7A3D6D17-9DD5-4C60-8076-D1784DABAF8C} - c:\program files\ClickPotatoLite\bin\10.0.529.0\ClickPotatoLiteSABHO.dll DPF: {445F47D7-E043-4BD6-82EB-7A1BD0EBA773} - hxxp://www.psapoll.com/CopyGuardIE.cab FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cev3spae.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q= FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157 FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q= FF - component: c:\program files\CrazyLoader\spointer\extensions\crazyloader@spointer.com\components\crazyloader_air_ff.dll FF - component: c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - ORPHELINS SUPPRIMES - - - - BHO-{64182481-4F71-486b-A045-B233BD0DA8FC} - c:\program files\facemoods.com\facemoods\1.3.62.1\facemoods.dll AddRemove-facemoods - c:\program files\facemoods.com\facemoods\1.3.62.1\uninstall.exe AddRemove-QueryExplorer - c:\program files\QueryExplorer\uninstall.exe Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85F23EC5]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf74cbf28 \Driver\ACPI -> ACPI.sys @ 0xf735dcb8 \Driver\atapi -> atapi.sys @ 0xf7315852 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf71f4bb0 PacketIndicateHandler -> NDIS.sys @ 0xf7201a21 SendHandler -> NDIS.sys @ 0xf71df87b user & kernel MBR OK ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(476) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\mshtml.dll c:\windows\system32\msls31.dll c:\windows\system32\eappprxy.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast5\AvastSvc.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Fichiers communs\LightScribe\LSSrvc.exe c:\windows\system32 vsvc32.exe c:\program files\CyberLink\Shared Files\RichVideo.exe c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe c:\windows\system32\RUNDLL32.EXE c:\windows\RTHDCPL.EXE . ************************************************************************** . Heure de fin: 2010-10-04 19:18:37 - La machine a redémarré ComboFix-quarantined-files.txt 2010-10-04 17:18 Avant-CF: 199 398 510 592 octets libres Après-CF: 199 667 310 592 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect - - End Of File - - 01382358EA98D4DCC5770ABA50BE7A24

Kenza · Answer

MERCII <33 Car mes logiciels ... foncitionne. <33 Je T'adore !=)

moment de grace · Answer

(sourire)

tant mieux mais c'est loin d'être fini

1) 

j'aurais besoin que tu me transmette le rapport de combofix par ci joint

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\ComboFix.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

......................

2)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

c:\windows\system32\DRIVERS\WudfPf.sys
c:\documents and settings\All Users\Application Data\QuestDns\questdns117.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Kenza · Answer

Bah je vient de t'envoyer le rapport ^^ et euh pourquoi ce n'est pas finit ^^ j'ai réeussit a remettre avast =D

moment de grace · Answer

il y a encore beaucoup d'infections sur ton pc et quelque manip à faire

je sais que tu m'as posté le rapport et je l'ai lu, mais pour pourvoir rédiger une consigne précise à te faire faire, j'ai besoin de ce rapport sous ci joint

kenza · Answer

Mais c'est normal que mon ordi n'arrête pas de buguer ? sur facebook ou meme a des jeux que je fait ... ^^ est-ce que c'est parce que j'ai arreter les manip que tu m'a dit de faire ???

moment de grace · Answer

le 04.10.10 je t'ai demandé quelque chose...

Virus Win32

29 réponses

Votre réponse

Discussions similaires

Newsletters