Antimalware doctor

Résolu
noun -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,

Mon pc est, depuis hier, infecté par Antimalware doctor. Ne m'y connaissant pas franchement, j'ai cherché sur le net des infos et appliqué les procédures que j'ai trouvé sur tous les forums que j'ai visité, rkill puis malwarebytes antimalware. Rkill a bien fait taire le logiciel, et malwarebytes antimalware l'a détecté puis supprimé, d'après le rapport. Cependant, au redémarrage, antimalware doctor était toujours là...

Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4915

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

23/10/2010 12:41:40
mbam-log-2010-10-23 (12-41-40).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 376317
Temps écoulé: 1 heure(s), 51 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Pour être précise, quand je me suis aperçue de la présence de ce truc sur mon ordi, j'ai vu son apparition dans le menu démarrer, avec la fonction unistall que j'ai exécuté (sans succès bien sûr). J'ai essayé ensuite de le désinstaller via le panneau de configuration mais rien ne s'est produit, à part sa disparition dans le menu démarrer. C'est ensuite que j'ai lancé rkill et mbam, en suivant les procédures indiquées sur tous les forums que j'ai visité.

Je pense devoir également préciser une chose qui me semble étrange. En effet, lors de mes recherches, j'ai trouvé qu'il fallait désactiver Antimalware doctor au démarrage via msconfig. Or je n'avais rien qui portait ce nom, mais un truc bizarre écrit avec des caractères russes. J'ai fait le test de le décocher et de redémarrer la machine, pour voir si c'était ça qui me nuisait. Et là, Antimalware doctor s'est quand même lancé. La chose étrange est qu'en revisitant mon msconfig, ce truc en russe apparaissait décoché, mais son frère jumeau était apparu, coché lui. Ce qui est d'autant plus étrange selon moi, c'est que lorsque je lance rkill, j'ai ce rapport :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Claire on 23/10/2010 at 12:54:11.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\Users\Claire\AppData\Roaming\11B2F98E53F8654CEE7CDB7AA92D5FBB\ultradimiso70700xr.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Claire\Downloads\rkill.exe

Rkill completed on 23/10/2010 at 12:54:16.

Le premier processus stoppé ayant l'adresse même du truc en russe.

Je ne suis pas certaine d'avoir été tout à fait claire, mais si quelqu'un voulait bien m'aider, ce serait vraiment génial.

22 réponses

  • 1
  • 2
  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Telecharge combofix :
    Faire un clic droit sur le lien
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Choisir : "Enregistrer la cible du lien sous..."
    * Choisir le Bureau comme destination.
    * Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
    * Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.

    Note importante :tu est sous Vista

    la désactivation du Contrôle des comptes utilisateurs est obligatoire

    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

    pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    -Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    !\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu accepte
    0
  2. noun
     
    J'ai suivi la procédure que vous m'avez indiqué, voici le rapport de combofix :

    ComboFix 10-10-22.05 - Claire 23/10/2010 14:05:38.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.1983 [GMT 2:00]
    Lancé depuis: c:\users\Claire\Desktop\CCM.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\programdata\SymUpdate.exe
    c:\users\Claire\AppData\Roaming\11B2F98E53F8654CEE7CDB7AA92D5FBB
    c:\users\Claire\AppData\Roaming\11B2F98E53F8654CEE7CDB7AA92D5FBB\enemies-names.txt
    c:\users\Claire\AppData\Roaming\11B2F98E53F8654CEE7CDB7AA92D5FBB\local.ini
    c:\users\Claire\AppData\Roaming\11B2F98E53F8654CEE7CDB7AA92D5FBB\lsrslt.ini
    c:\users\Claire\AppData\Roaming\11B2F98E53F8654CEE7CDB7AA92D5FBB\ultradimiso70700xr.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-23 au 2010-10-23 ))))))))))))))))))))))))))))))))))))
    .

    2010-10-23 12:13 . 2010-10-23 12:13 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-10-23 08:20 . 2010-10-23 08:20 -------- d-----w- c:\program files\CCleaner
    2010-10-22 23:35 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A4296A68-EB63-48B2-92FB-199C6668813C}\mpengine.dll
    2010-10-22 17:59 . 2010-10-22 17:59 -------- d-----w- c:\users\Claire\AppData\Roaming\Malwarebytes
    2010-10-22 17:58 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-10-22 17:58 . 2010-10-22 17:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-10-22 17:58 . 2010-10-22 17:58 -------- d-----w- c:\programdata\Malwarebytes
    2010-10-22 17:58 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-10-16 11:52 . 2010-09-20 09:25 231936 ----a-w- c:\windows\system32\msshsq.dll
    2010-10-16 11:50 . 2010-06-11 15:30 1257472 ----a-w- c:\windows\system32\msxml3.dll
    2010-10-16 11:50 . 2010-05-27 19:16 81920 ----a-w- c:\windows\system32\iccvid.dll
    2010-10-16 11:50 . 2010-06-22 12:57 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-10-16 11:50 . 2010-08-17 13:32 126464 ----a-w- c:\windows\system32\spoolsv.exe
    2010-10-16 11:50 . 2010-06-16 15:59 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-10-16 11:50 . 2010-05-27 19:16 738816 ----a-w- c:\windows\system32\inetcomm.dll
    2010-10-16 11:49 . 2010-09-10 16:35 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe
    2010-10-16 11:49 . 2010-09-10 16:37 8147456 ----a-w- c:\windows\system32\wmploc.DLL
    2010-10-16 11:49 . 2010-09-06 16:24 125952 ----a-w- c:\windows\system32\srvsvc.dll
    2010-10-16 11:49 . 2010-09-06 14:13 303616 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-10-16 11:49 . 2010-09-06 14:12 145408 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-10-16 11:49 . 2010-09-06 14:12 101888 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2010-10-16 11:49 . 2010-09-06 16:23 17920 ----a-w- c:\windows\system32\netevent.dll
    2010-10-16 11:42 . 2010-08-31 15:40 531968 ----a-w- c:\windows\system32\comctl32.dll
    2010-10-14 16:36 . 2010-10-14 16:36 -------- d-----w- c:\programdata\McAfee
    2010-10-10 20:55 . 2010-10-23 11:07 -------- d-----w- c:\users\Claire\AppData\Roaming\vlc
    2010-10-10 20:51 . 2010-10-10 20:55 -------- d-----w- C:\Temp
    2010-10-08 12:34 . 2010-10-08 12:34 -------- d-----w- c:\program files\SFR
    2010-10-05 06:06 . 2010-10-05 06:06 -------- d-----w- c:\users\Colin
    2010-09-27 20:54 . 2010-09-27 21:12 -------- d-----w- c:\users\Claire\AppData\Local\Canon Easy-PhotoPrint EX
    2010-09-27 20:54 . 2010-09-27 20:54 -------- d--h--w- c:\programdata\CanonIJEPPEX
    2010-09-23 18:24 . 2010-09-23 18:24 -------- d--h--w- c:\programdata\CanonIJEGV

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-10-19 09:41 . 2009-10-03 00:20 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-09-07 15:12 . 2010-09-03 18:35 38848 ----a-w- c:\windows\avastSS.scr
    2010-09-07 15:11 . 2009-09-14 23:03 167592 ----a-w- c:\windows\system32\aswBoot.exe
    2010-09-07 14:52 . 2009-09-14 23:03 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-09-07 14:52 . 2009-09-14 23:03 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-09-07 14:47 . 2009-09-14 23:03 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-09-07 14:47 . 2009-09-14 23:03 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2010-09-07 14:47 . 2009-09-14 23:03 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-04-11 12:13 . 2010-04-11 12:13 7772672 ----a-w- c:\program files\Samsung New PC Studio USB Driver Installer.msi
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
    "Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-13 13584928]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-13 92704]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
    "DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-09-26 1148200]
    "TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-09-25 1152296]
    "CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-09-25 189736]
    "UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-09-23 912688]
    "UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-09-26 210216]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
    "UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-07-21 458844]
    "BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2009-08-25 140016]
    "CardDetectorHUAWEI1752_1552"="c:\program files\CardDetector\HUAWEI1752_1552\CardDetector.exe" [2009-08-25 282624]
    "TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-02-09 206120]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-07-27 1983816]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Exif Launcher S.lnk - c:\program files\FinePixViewerS\QuickDCF2.exe [2010-1-8 303104]

    Chose peut-être bizarre, après ça, combofix ne m'a pas demandé de redémarrer. En revanche, quand j'ai voulu me reconnecter à internet, ça n'a pas été possible (j'ai eu un message d'erreur sur firefox), et Firefox n'était plus mon navigateur par défaut. J'ai redémarré du coup, et là, tout refonctionne sans problème, et je n'ai pas eu Antimalware doctor au démarrage, ce que je suppose être bon signe.

    A propos, dans la liste de suppression de combofix, il y avait bien l'adresse du logiciel au nom russe. Je ne sais pas si le problème est complètement résolu, mais en tout cas, merci beaucoup de l'aide déjà apportée.
    0
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Télécharge UsbFix de C_XX & Chiquitine29

    http://www.teamxscript.org/usbfixTelechargement.html

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur "UsbFix.exe" présent sur ton bureau ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )

    * Choisis l'option F pour français et tape sur [entrée] .

    * Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

    * Laisse travailler l'outil.

    * Ensuite poste le rapport UsbFix.txt qui apparaitra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  4. noun
     
    C'est fait, voici le rapport :

    ############################## | UsbFix 7.032 | [Recherche]

    Utilisateur: Claire (Administrateur) # PC-DE-CLAIRE [Hewlett-Packard HP Pavilion dv7 Notebook PC]
    Mis à jour le 17/10/10 par El Desaparecido / C_XX
    Lancé à 14:42:18 | 23/10/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@arx-services.com

    CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    CPU 2: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000

    Pare-feu Windows: Activé
    RAM -> 3069 Mo
    C:\ (%systemdrive%) -> Disque fixe # 222 Go (22 Go libre(s) - 10%) [] # NTFS
    D:\ -> Disque fixe # 11 Go (2 Go libre(s) - 16%) [RECOVERY] # NTFS
    E:\ -> CD-ROM

    ################## | Éléments infectieux |

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Suppression

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

    (1) Double clic sur le raccourci UsbFix présent sur ton bureau

    (2) Choisi l option 2 ( Suppression )

    Ton bureau disparaitra et le pc redémarrera .

    Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  7. noun
     
    C'est fait, mais le PC n'a pas redémarré, cei dit le bureau a bien disparu au cours de la procédure. voici le rapport :

    ############################## | UsbFix 7.032 | [Suppression]

    Utilisateur: Claire (Administrateur) # PC-DE-CLAIRE [Hewlett-Packard HP Pavilion dv7 Notebook PC]
    Mis à jour le 17/10/10 par El Desaparecido / C_XX
    Lancé à 14:50:21 | 23/10/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@arx-services.com

    CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    CPU 2: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000

    Pare-feu Windows: Activé
    RAM -> 3069 Mo
    C:\ (%systemdrive%) -> Disque fixe # 222 Go (22 Go libre(s) - 10%) [] # NTFS
    D:\ -> Disque fixe # 11 Go (2 Go libre(s) - 16%) [RECOVERY] # NTFS
    E:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1595627634-2789055234-1663878696-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1595627634-2789055234-1663878696-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1595627634-2789055234-1663878696-1001
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1595627634-2789055234-1663878696-500

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    ################## | Listing |

    [23/10/2010 - 14:51:00 | SHD ] C:\$RECYCLE.BIN
    [18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
    [04/12/2009 - 17:10:29 | D ] C:\BigFishGamesCache
    [22/10/2008 - 17:29:03 | D ] C:\boot
    [21/01/2008 - 04:24:42 | RASH | 333203] C:\bootmgr
    [23/10/2010 - 14:15:38 | D ] C:\CCM
    [23/10/2010 - 14:15:34 | N | 14615] C:\ComboFix.txt
    [17/10/2010 - 01:39:16 | D ] C:\Config.Msi
    [18/09/2006 - 23:43:37 | N | 10] C:\config.sys
    [07/09/2010 - 22:13:20 | D ] C:\Dev-Pas
    [02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
    [23/10/2010 - 14:21:55 | ASH | 3219083264] C:\hiberfil.sys
    [29/08/2009 - 19:23:35 | D ] C:\HP
    [22/12/2008 - 15:24:05 | D ] C:\Intel
    [14/09/2009 - 17:54:40 | N | 0] C:\IO.SYS
    [14/09/2009 - 17:54:40 | N | 0] C:\MSDOS.SYS
    [22/10/2008 - 06:37:28 | RD ] C:\MSOCache
    [23/10/2010 - 14:21:53 | ASH | 3532869632] C:\pagefile.sys
    [21/01/2008 - 04:32:31 | D ] C:\PerfLogs
    [23/10/2010 - 10:20:42 | D ] C:\Program Files
    [23/10/2010 - 14:12:45 | D ] C:\ProgramData
    [23/10/2010 - 14:15:37 | D ] C:\Qoobox
    [23/10/2010 - 12:54:16 | N | 534] C:\rkill.log
    [24/06/2010 - 11:58:41 | D ] C:\SwSetup
    [23/10/2010 - 04:07:39 | SHD ] C:\System Volume Information
    [29/08/2009 - 19:24:09 | D ] C:\System.sav
    [23/10/2010 - 14:17:39 | D ] C:\Temp
    [23/10/2010 - 14:51:00 | D ] C:\UsbFix
    [23/10/2010 - 14:50:28 | A | 2798] C:\UsbFix.txt
    [05/10/2010 - 08:06:33 | D ] C:\Users
    [23/10/2010 - 14:39:51 | D ] C:\Windows
    [23/10/2010 - 14:51:00 | D ] D:\$RECYCLE.BIN
    [29/08/2009 - 19:22:52 | N | 13] D:\BLOCK.RIN
    [22/12/2008 - 16:00:03 | D ] D:\boot
    [04/10/2006 - 01:02:44 | SH | 438328] D:\bootmgr
    [12/09/2008 - 20:00:22 | SH | 1199] D:\Desktop.ini
    [10/09/2002 - 18:14:28 | N | 8134] D:\Folder.htt
    [22/12/2008 - 16:00:22 | D ] D:\HP
    [23/10/2010 - 14:22:22 | N | 176] D:\MASTER.LOG
    [22/12/2008 - 16:00:12 | D ] D:\PRELOAD
    [12/09/2008 - 19:17:38 | N | 381873] D:\protect.arabic
    [15/09/2008 - 17:57:58 | N | 182624] D:\protect.bulgarian
    [16/09/2002 - 16:37:48 | N | 181898] D:\protect.chinese hong kong
    [16/09/2002 - 16:37:40 | N | 181916] D:\protect.chinese simplified
    [16/09/2002 - 16:37:48 | N | 181898] D:\protect.chinese traditional
    [27/04/2006 - 18:19:40 | N | 181865] D:\protect.czech
    [03/11/2005 - 17:21:26 | N | 181726] D:\protect.danish
    [10/09/2002 - 15:56:12 | N | 181605] D:\protect.dutch
    [10/09/2002 - 15:50:18 | N | 181651] D:\protect.ed
    [22/11/2004 - 17:28:30 | N | 181648] D:\protect.english
    [03/11/2005 - 17:20:20 | N | 181673] D:\protect.finnish
    [03/11/2005 - 17:19:52 | N | 181736] D:\protect.french
    [03/11/2005 - 17:18:10 | N | 181669] D:\protect.german
    [23/11/2005 - 17:56:46 | N | 182689] D:\protect.greek
    [23/01/2006 - 11:18:00 | N | 182605] D:\protect.hebrew
    [28/08/2007 - 16:58:08 | N | 181696] D:\protect.hungarian
    [03/11/2005 - 17:17:00 | N | 181554] D:\protect.italian
    [19/06/2007 - 17:22:10 | N | 182351] D:\protect.japanese
    [24/11/2005 - 13:24:44 | N | 218295] D:\protect.korean
    [03/11/2005 - 17:15:12 | N | 181578] D:\protect.norwegian
    [25/04/2006 - 16:44:10 | N | 181789] D:\protect.polish
    [03/11/2005 - 17:13:12 | N | 181624] D:\protect.portuguese
    [27/10/2005 - 21:24:10 | N | 181882] D:\protect.portuguese brazilian
    [15/09/2008 - 17:57:54 | N | 181735] D:\protect.romanian
    [28/06/2004 - 10:52:46 | N | 211936] D:\protect.russian
    [04/07/2007 - 13:46:44 | N | 181954] D:\protect.slovak
    [03/11/2005 - 17:11:46 | N | 181586] D:\protect.spanish
    [10/09/2002 - 16:15:06 | N | 181602] D:\protect.swedish
    [12/08/2003 - 12:37:30 | N | 181783] D:\protect.turkish
    [22/12/2008 - 16:00:02 | RD ] D:\RECOVERY
    [22/12/2008 - 16:00:11 | D ] D:\SOURCES
    [22/12/2008 - 09:29:31 | SHD ] D:\System Volume Information
    [22/12/2008 - 16:00:21 | D ] D:\Tools
    [22/12/2008 - 16:00:11 | D ] D:\WINDOWS

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CLAIRE.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |
    0
  8. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)

    Télécharge ici :List_Kill'em de gen-hackman

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    et enregistre le sur ton bureau

    windows 7 => clic droit "exécuter en tant que administrateur

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Exécuter List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agrée"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ------ NE LE POSTE PAS SUR LE FORUM-------

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier C:\List'em.txt

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  9. noun
     
    Merci! Voici le lien du rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijSTlJoNc.txt
    0
  10. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN

    laisse travailler l'outil.

    en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau
    0
  11. noun
     
    ok, c'est bon, voici le rapport kill'em.txt :

    ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.0 ¤¤¤¤¤¤¤¤¤¤

    User : Claire (Administrateurs)
    Update on 21/10/2010 by g3n-h@ckm@n ::::: 11.00
    Start at: 15:27:12 | 23/10/2010

    Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local | 221,73 Go (22,13 Go free) | NTFS
    D:\ -> Disque fixe local | 11,16 Go (1,83 Go free) [RECOVERY] | NTFS
    E:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
    Quarantined & Deleted !! : C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
    Quarantined & Deleted !! : C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
    Quarantined & Deleted !! : C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
    Quarantined & Deleted !! : C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
    Quarantined & Deleted !! : C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
    Quarantined & Deleted !! : C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
    Quarantined & Deleted !! : C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
    Quarantined & Deleted !! : C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
    Quarantined & Deleted !! : C:\ProgramData\nvModes.001
    Quarantined & Deleted !! : C:\ProgramData\nvModes.dat

    Quarantined & Deleted !! : C:\Users\Claire\AppData\Local\d3d9caps.dat
    Quarantined & Deleted !! : C:\Users\Claire\AppData\Local\GDIPFONTCACHEV1.DAT

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

    Deleted : HKLM\SYSTEM\CurrentControlSet\Services\BHDRVX86
    Deleted : HKLM\SYSTEM\ControlSet002\Services\BHDRVX86
    Deleted : HKLM\SYSTEM\ControlSet003\Services\BHDRVX86
    Deleted : HKLM\SYSTEM\ControlSet004\Services\BHDRVX86

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    Local Page = C:\WINDOWS\system32\blank.htm
    Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.google.com/?gws_rd=ssl
    Local Page = C:\WINDOWS\system32\blank.htm
    Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval = 1 ()
    FirewallDisableNotify = 0 (0x0)
    AntiVirusDisableNotify = 0 (0x0)
    UpdatesDisableNotify = 0 (0x0)
    FirstRunDisabled = 1 ()
    AntiVirusOverride = 0 (0x0)
    FirewallOverride = 0 (0x0)

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    Ndisuio : Start = 3
    EapHost : Start = 2
    Wlansvc : Start = 2
    SharedAccess : Start = 2
    windefend : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    Disk Cleaned
    anti-ver blaster : OK
    Prefetch cleaned
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    FEATURE_BROWSER_EMULATION | svchost :
    ====================================

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll ataport.SYS PCIIDEX.SYS msahci.sys
    kernel: MBR read successfully
    user & kernel MBR OK

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  12. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  13. noun
     
    voici le lien du rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij01QZmuV.txt
    0
  14. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    * Sélectionne le script suivant en entier et copie le (Edition --> Copier) :

    O4 - Global Startup: C:\Users\Claire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk - Clé orpheline
    O4 - Global Startup: C:\Users\Claire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk - Clé orpheline

    O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK

    O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR
    O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
    O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI

    O64 - Services: CurCS - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP

    O64 - Services: CurCS - (.not file.) - FAT12/16/32 File System Driver (fastfat) .(.Pas de propriétaire - Pas de description.) - LEGACY_FASTFAT

    O64 - Services: CurCS - C:\Users\Claire\AppData\Local\Temp\mbr.sys (.not file.) - mbr (mbr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MBR

    O64 - Services: CurCS - (.not file.) - PROCEXP113 (PROCEXP113) .(.Pas de propriétaire - Pas de description.) - LEGACY_PROCEXP113

    O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV

    O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR

    O67 - Shell Spawning: <.bat> <batfile>[HKLM\..\open\Command] "%1" %* (.not file.)

    O67 - Shell Spawning: <.cmd> <cmdfile>[HKLM\..\open\Command] "%1" %* (.not file.)
    O67 - Shell Spawning: <.com> <ComFile>[HKLM\..\open\Command] "%1" %* (.not file.)

    O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.)

    O67 - Shell Spawning: <.com> <>[HKU\..\open\Command] (.Not Key.)
    O67 - Shell Spawning: <.exe> <>[HKU\..\open\Command] (.Not Key.)
    O67 - Shell Spawning: <.bat> <batfile>[HKCR\..\open\Command] "%1" %* (.not file.)

    O67 - Shell Spawning: <.cmd> <cmdfile>[HKCR\..\open\Command] "%1" %* (.not file.)
    O67 - Shell Spawning: <.com> <ComFile>[HKCR\..\open\Command] "%1" %* (.not file.)

    O67 - Shell Spawning: <.exe> <exefile>[HKCR\..\open\Command] "%1" %* (.not file.)


    * Lance ZHPFix à partir du raccourci sur ton Bureau
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse.

    Puis fais redémarrer ton ordinateur
    0
  15. noun
     
    voici le rapport, je redémarre :

    Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-23-10-2010-16-38-20.txt
    Run by Claire at 23/10/2010 16:38:20
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - FAT12/16/32 File System Driver (fastfat) .(.Pas de propriétaire - Pas de description.) - LEGACY_FASTFAT => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Users\Claire\AppData\Local\Temp\mbr.sys (.not file.) - mbr (mbr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MBR => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - PROCEXP113 (PROCEXP113) .(.Pas de propriétaire - Pas de description.) - LEGACY_PROCEXP113 => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR => Clé supprimée avec succès
    O67 - Shell Spawning: <.bat> <batfile>[HKCR\..\open\Command] "%1" %* (.not file.) => Clé absente
    O67 - Shell Spawning: <.cmd> <cmdfile>[HKCR\..\open\Command] "%1" %* (.not file.) => Clé absente
    O67 - Shell Spawning: <.com> <ComFile>[HKCR\..\open\Command] "%1" %* (.not file.) => Clé absente
    O67 - Shell Spawning: <.exe> <exefile>[HKCR\..\open\Command] "%1" %* (.not file.) => Clé absente

    ========== Elément(s) de donnée du Registre ==========
    O67 - Shell Spawning: <.bat> <batfile>[HKLM\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès
    O67 - Shell Spawning: <.cmd> <cmdfile>[HKLM\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès
    O67 - Shell Spawning: <.com> <ComFile>[HKLM\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès
    O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    c:\users\claire\appdata\roaming\microsoft\internet explorer\quick launch\shows desktop.lnk => Supprimé et mis en quarantaine
    c:\users\claire\appdata\roaming\microsoft\internet explorer\quick launch\window switcher.lnk => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    14 : Clé(s) du Registre
    4 : Elément(s) de donnée du Registre
    2 : Fichier(s)

    End of the scan
    0
  16. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Télécharge DelFix sur ton bureau.

    http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

    3.1 - Option Recherche

    Téléchargez DelFix sur votre bureau.
    Lancez le, tapez 1 et validez en appuyant sur [Entrée]
    Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

    -------------------------

    3.2 - Option Suppression

    Téléchargez DelFix sur votre bureau
    Lancez le, tapez 2 et validez en appuyant sur [Entrée]
    Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

    -------------------Après--------------

    scan en ligne

    fait les scan içi

    https://www.eset.com/

    içi un tuto

    https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
    0
  17. noun
     
    Je vais faire ça mais avant tout, je précise que l'ordi a sévèrement bloqué au démarrage (il ne passait pas la page HP), c'est a priori réglé mais là, il est assez lent comparé à son habitude. Je fais quand même delfix ?
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      oui c'est juste pour éviter les FP
      0
  18. noun
     
    ok .
    voici le rapport DelFixSearch :

    Rapport DelFix v6.0 - 23/10/2010 à 17:06,23
    Mis à jour le 22/10/10 à 13h30 par Xplode
    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1
    Navigateur : Mozilla Firefox 3.5.13 (fr) [Navigateur par défaut]
    Processeur : Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Mémoire vive totale : 2,99 Go
    Nom d'utilisateur : Claire - PC-DE-CLAIRE (Administrateur)
    Exécuté depuis : C:\Users\Claire\Desktop\DelFix.exe

    ~~~~~~ Dossier(s) ~~~~~~

    Présent : C:\Qoobox
    Présent : C:\USBFix
    Présent : C:\Kill'em
    Présent : C:\Program Files\List_Kill'em
    Présent : C:\Program Files\ZHPDiag
    Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\List_Kill'em
    Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Présent : C:\ComboFix.txt
    Présent : C:\List'em.txt
    Présent : C:\UsbFix.txt
    Présent : C:\UsbFix_Upload_Me_PC-DE-CLAIRE.zip
    Présent : C:\rkill.log
    Présent : C:\ZHPExportRegistry-23-10-2010-16-38-20.txt
    Présent : C:\Windows\grep.exe
    Présent : C:\Windows\PEV.exe
    Présent : C:\Windows\NIRCMD.exe
    Présent : C:\Windows\MBR.exe
    Présent : C:\Windows\sed.exe
    Présent : C:\Windows\SWREG.exe
    Présent : C:\Windows\SWSC.exe
    Présent : C:\Windows\SWXCACLS.exe
    Présent : C:\Windows\zip.exe
    Présent : C:\Users\Claire\Desktop\List_Killem_Install.exe
    Présent : C:\Users\Claire\Desktop\UsbFix.exe
    Présent : C:\Users\Claire\Desktop\ZHPDiag.exe
    Présent : C:\Users\Claire\Desktop\ZHPDiag.txt
    Présent : C:\Users\Claire\Desktop\ZHPFixReport.txt
    Présent : C:\Users\Claire\Desktop\Kill'em.txt
    Présent : C:\Users\Claire\Desktop\More.txt
    Présent : C:\Users\Public\Desktop\ZHPDiag.lnk
    Présent : C:\Users\Public\Desktop\ZHPFix.lnk
    Présent : C:\Users\Public\Desktop\MBRCheck.lnk
    Présent : C:\Users\Claire\Downloads\rkill.exe

    ~~~~~~ Registre ~~~~~~

    Clé Présente : HKLM\Software\swearware
    Clé Présente : HKCU\SOFTWARE\USBFix
    Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
    Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1

    ########## EOF - "C:\DelFixSearch.txt" - [2327 octets] ##########

    et le rapport DelFixSuppr :

    Rapport DelFix v6.0 - 23/10/2010 à 17:07,46
    Mis à jour le 22/10/10 à 13h30 par Xplode
    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1
    Navigateur : Mozilla Firefox 3.5.13 (fr) [Navigateur par défaut]
    Processeur : Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Mémoire vive totale : 2,99 Go
    Nom d'utilisateur : Claire - PC-DE-CLAIRE (Administrateur)
    Exécuté depuis : C:\Users\Claire\Desktop\DelFix.exe

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Qoobox
    Supprimé : C:\USBFix
    Supprimé : C:\Kill'em
    Supprimé : C:\Program Files\List_Kill'em
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\List_Kill'em
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\ComboFix.txt
    Supprimé : C:\List'em.txt
    Supprimé : C:\UsbFix.txt
    Supprimé : C:\UsbFix_Upload_Me_PC-DE-CLAIRE.zip
    Supprimé : C:\rkill.log
    Supprimé : C:\ZHPExportRegistry-23-10-2010-16-38-20.txt
    Supprimé : C:\Windows\grep.exe
    Supprimé : C:\Windows\PEV.exe
    Supprimé : C:\Windows\NIRCMD.exe
    Supprimé : C:\Windows\MBR.exe
    Supprimé : C:\Windows\sed.exe
    Supprimé : C:\Windows\SWREG.exe
    Supprimé : C:\Windows\SWSC.exe
    Supprimé : C:\Windows\SWXCACLS.exe
    Supprimé : C:\Windows\zip.exe
    Supprimé : C:\Users\Claire\Desktop\List_Killem_Install.exe
    Supprimé : C:\Users\Claire\Desktop\UsbFix.exe
    Supprimé : C:\Users\Claire\Desktop\ZHPDiag.exe
    Supprimé : C:\Users\Claire\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Claire\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Claire\Desktop\Kill'em.txt
    Supprimé : C:\Users\Claire\Desktop\More.txt
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

    je lance le scan en ligne.
    0
  19. noun
     
    excusez-moi, j'ai du m'absenter. le scan sur eset est terminé, il me dit qu'il n'y a aucune menace détectée. Merci beaucoup pour votre aide, en tout cas, mon pc a l'air de beaucoup mieux fonctionner !
    0
  20. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Ok bonne nouvelle pour finir

    sa tu le garde tout comme malwarbyte et scan souvent avec

    tu va télécharger Ccleaner http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ccsetup227_slim.exe

    ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

    . Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
    Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
    . Tu refais tous ca 4-5 fois (le nettoyage et le registre).

    Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

    içi mode d'emploi pour ccleaner

    https://www.malekal.com/tutoriel-ccleaner/
    0
  • 1
  • 2