Virus sur Explorer.exe et winlogon.exe
Shika20
Messages postés
129
Statut
Membre
-
Shika20 Messages postés 129 Statut Membre -
Shika20 Messages postés 129 Statut Membre -
Bonjour,
Alors en fait il y a un virus sur mon explorer.exe et winlogon.exe mais je ne sais pas comment m'en débarrasser. Mon anti-virus (antivir) ne peux pas les supprimer. Même en faisant un scan en mode sans échec. J'ai été obligé de désactiver la protection de antivir car il fait apparaître sans cesse une fenêtre me disant que je suis infecté.
Il ne m'est pas possible de faire des recherches google car le site est automatiquement redirigé vers de la pub. Un des effets du virus je présume.
Je suis sur XP.
Help :s
merci
Alors en fait il y a un virus sur mon explorer.exe et winlogon.exe mais je ne sais pas comment m'en débarrasser. Mon anti-virus (antivir) ne peux pas les supprimer. Même en faisant un scan en mode sans échec. J'ai été obligé de désactiver la protection de antivir car il fait apparaître sans cesse une fenêtre me disant que je suis infecté.
Il ne m'est pas possible de faire des recherches google car le site est automatiquement redirigé vers de la pub. Un des effets du virus je présume.
Je suis sur XP.
Help :s
merci
A voir également:
- Virus sur Explorer.exe et winlogon.exe
- Explorer.exe - Télécharger - Divers Utilitaires
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
73 réponses
voila pour explorer :
http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1289781896
winlogon :
http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1289782035
http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1289781896
winlogon :
http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1289782035
ok
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
......................
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
......................
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
......................
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
......................
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
lorsque je veux enregistrer dans le bureau (clic droit), ca me dit qu'il y a un copyright
ca ne fait rien si je l'enregistre ailleur et que je le coupe et colle sur le bureau ?
ca ne fait rien si je l'enregistre ailleur et que je le coupe et colle sur le bureau ?
voila le rapport de ad-remover
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.10 (fr)] **
-- C:\Documents and Settings\abdel\Application Data\Mozilla\FireFox\Profiles\311d2pv7.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\abdel\\Mes documents\\Mes images
browser.startup.homepage_override.mstone, rv:1.9.2.10
========================================
** Internet Explorer Version [6.0.2900.5512] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 118 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/11/2010 (2455 Octet(s))
Fin à: 20:21:36, 14/11/2010
============== E.O.F ==============
Je débute le scan de malwarebyte's
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.10 (fr)] **
-- C:\Documents and Settings\abdel\Application Data\Mozilla\FireFox\Profiles\311d2pv7.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\abdel\\Mes documents\\Mes images
browser.startup.homepage_override.mstone, rv:1.9.2.10
========================================
** Internet Explorer Version [6.0.2900.5512] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 118 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/11/2010 (2455 Octet(s))
Fin à: 20:21:36, 14/11/2010
============== E.O.F ==============
Je débute le scan de malwarebyte's
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il a terminé
voila le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5117
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512
14/11/2010 21:17:23
mbam-log-2010-11-14 (21-17-23).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 283253
Temps écoulé: 47 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{52a91bf8-da96-82f7-34ea-4f55dcad3e16} (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nonep (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\program files\microsoft\watermark.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (c:\windows\system32\userinit.exe,c:\program files\microsoft\watermark.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\abdel\Application Data\Caibu\riyn.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\Téléchargements\SetupPlaySushi.exe (Adware.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\tmp\x999.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0000005.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0002740.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0005997.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft\watermark.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Local Settings\temp\tmp37df5676\r_KillEXE.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\downloads\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
voila le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5117
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512
14/11/2010 21:17:23
mbam-log-2010-11-14 (21-17-23).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 283253
Temps écoulé: 47 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{52a91bf8-da96-82f7-34ea-4f55dcad3e16} (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nonep (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\program files\microsoft\watermark.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (c:\windows\system32\userinit.exe,c:\program files\microsoft\watermark.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\abdel\Application Data\Caibu\riyn.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\Téléchargements\SetupPlaySushi.exe (Adware.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\tmp\x999.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0000005.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0002740.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0005997.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft\watermark.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Local Settings\temp\tmp37df5676\r_KillEXE.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\downloads\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
ok
vide la quarantaine de MBAM
puis
fais un nouveau rapport ZHPdiag
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
vide la quarantaine de MBAM
puis
fais un nouveau rapport ZHPdiag
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[MD5.A4EE1200F915817C00DCFD7F78EF1200] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Microsoft\WaterMark.exe [75181]
O44 - LFC:[MD5.B717FCE3F4EF120B390319077A073A9A] - 14/11/2010 - 21:19:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\dmlconf.dat [16]
O47 - AAKE:Key Export SP - "C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe
O47 - AAKE:Key Export SP - "C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 19:00:07 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\shmgratemgr.exe [75181]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 19:00:07 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\verclsidmgr.exe [75181]
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 14/11/2010 - 18:57:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002822_.tmp [19569]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 17:48:32 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\mspaintmgr.exe [75181]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 17:18:56 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\Explorermgr.exe [75181]
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
[MD5.A4EE1200F915817C00DCFD7F78EF1200] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Microsoft\WaterMark.exe [75181]
O44 - LFC:[MD5.B717FCE3F4EF120B390319077A073A9A] - 14/11/2010 - 21:19:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\dmlconf.dat [16]
O47 - AAKE:Key Export SP - "C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe
O47 - AAKE:Key Export SP - "C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 19:00:07 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\shmgratemgr.exe [75181]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 19:00:07 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\verclsidmgr.exe [75181]
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 14/11/2010 - 18:57:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002822_.tmp [19569]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 17:48:32 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\mspaintmgr.exe [75181]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 17:18:56 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\Explorermgr.exe [75181]
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
voila :
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-11-2010-21-53-29.txt
Run by abdel at 14/11/2010 21:53:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe" [Enabled] .(.) (.not file.) -- C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\windows\system32\dmlconf.dat => Supprimé et mis en quarantaine
c:\windows\system32\shmgratemgr.exe => Supprimé et mis en quarantaine
c:\windows\system32\verclsidmgr.exe => Supprimé et mis en quarantaine
c:\windows\002822_.tmp => Supprimé et mis en quarantaine
c:\windows\system32\mspaintmgr.exe => Supprimé et mis en quarantaine
c:\windows\explorermgr.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
2 : Valeur(s) du Registre
6 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-11-2010-21-53-29.txt
Run by abdel at 14/11/2010 21:53:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe" [Enabled] .(.) (.not file.) -- C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\windows\system32\dmlconf.dat => Supprimé et mis en quarantaine
c:\windows\system32\shmgratemgr.exe => Supprimé et mis en quarantaine
c:\windows\system32\verclsidmgr.exe => Supprimé et mis en quarantaine
c:\windows\002822_.tmp => Supprimé et mis en quarantaine
c:\windows\system32\mspaintmgr.exe => Supprimé et mis en quarantaine
c:\windows\explorermgr.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
2 : Valeur(s) du Registre
6 : Fichier(s)
End of the scan
ok
on fait le point
de mon côté :
deux infections tres sales, une semble éradiquée, l'autre est en apparence supprimée mais elle est tenace
de ton côté
1)
constate tu une amélioration
2)
le mode normal est il toujour hors service
on fait le point
de mon côté :
deux infections tres sales, une semble éradiquée, l'autre est en apparence supprimée mais elle est tenace
de ton côté
1)
constate tu une amélioration
2)
le mode normal est il toujour hors service
alors si il y a une amélioration, ça je ne sais pas trop.
Le seul effet visible de mon infection était l'impossibilité de faire des recherches sur les moteurs de recherches comme Google car le site était automatiquement redirigé vers de la pub.
Ce problème n'existe plus de puis le scan de DR.WEB il me semble. Mais sinon, à part Antivir qui hurlait sans arret je dirais que je n'ai pas vu d'autre conséquences de mon infection. Étant donné que je suis en mode sans echec, je ne peux pas voir comment antivir réagit avec ces nouveau changements.
Pour le mode normal, non je sais toujours comme le faire revenir. Voila à quoi ressemble le BOOT.INI dans MSCONFIG :
http://img28.imageshack.us/img28/8472/2222ho.jpg
Le seul effet visible de mon infection était l'impossibilité de faire des recherches sur les moteurs de recherches comme Google car le site était automatiquement redirigé vers de la pub.
Ce problème n'existe plus de puis le scan de DR.WEB il me semble. Mais sinon, à part Antivir qui hurlait sans arret je dirais que je n'ai pas vu d'autre conséquences de mon infection. Étant donné que je suis en mode sans echec, je ne peux pas voir comment antivir réagit avec ces nouveau changements.
Pour le mode normal, non je sais toujours comme le faire revenir. Voila à quoi ressemble le BOOT.INI dans MSCONFIG :
http://img28.imageshack.us/img28/8472/2222ho.jpg
ok
1)
pour ton boot ini, je vais me faire assister d'un ami pour le réparer (je te tiendrai au courant
2)
on refait un coup de Dr Web mais en logiciel
⇒ Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
⇒ Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
⇒ Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
⇒ Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
⇒ Choisissez l'onglet Scanner, et décochez Analyse heuristique.
⇒ De retour à la fenêtre principale : choisissez Analyse complète.
⇒ Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
⇒ Cliquez Oui pour Tout si un fichier est détecté.
⇒ A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
⇒ Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
⇒ Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
⇒ Fermez Dr.Web CureIt!
⇒ Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
⇒ Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
⇒ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
⇒ Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
⇒ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
1)
pour ton boot ini, je vais me faire assister d'un ami pour le réparer (je te tiendrai au courant
2)
on refait un coup de Dr Web mais en logiciel
⇒ Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
⇒ Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
⇒ Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
⇒ Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
⇒ Choisissez l'onglet Scanner, et décochez Analyse heuristique.
⇒ De retour à la fenêtre principale : choisissez Analyse complète.
⇒ Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
⇒ Cliquez Oui pour Tout si un fichier est détecté.
⇒ A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
⇒ Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
⇒ Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
⇒ Fermez Dr.Web CureIt!
⇒ Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
⇒ Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
⇒ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
⇒ Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
⇒ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
Il me propose le mode renforcé ou standard. Je prend lequel ? Le mode renforcé ne doit pas être utilisé avec d'autre applications ouvertes.
toujours la même saleté qui innonde le pc !!!
ca devient chaud...
supprimes combofix que tu as déjà
puis
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
ca devient chaud...
supprimes combofix que tu as déjà
puis
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
salut, content de te revoir.
Voici le rapport :
ComboFix 10-11-15.05 - abdel 16/11/2010 1:55.1.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.767.412 [GMT -5:00]
Lancé depuis: c:\documents and settings\abdel\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
[i] ADS - explorer.exe: deleted 24 bytes in 1 streams. /i
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\microsoft\watermark.exe
c:\windows\system32\dmlconf.dat
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-16 au 2010-11-16 ))))))))))))))))))))))))))))))))))))
.
2010-11-15 21:50 . 2010-11-15 21:50 75181 ----a-w- c:\windows\Explorermgr.exe
2010-11-15 03:36 . 2010-11-15 03:54 -------- d-----w- c:\documents and settings\abdel\DoctorWeb
2010-11-15 01:19 . 2010-11-15 01:19 -------- d-----w- c:\program files\Ad-Remover
2010-11-15 00:02 . 2010-11-15 00:03 -------- d-----w- c:\windows\LastGood
2010-11-14 23:58 . 2008-04-14 00:34 294912 ------w- c:\program files\Windows Media Player\dlimport.exe
2010-11-14 23:58 . 2008-04-14 00:34 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2010-11-14 23:54 . 2010-11-14 23:54 -------- d-----w- c:\windows\EHome
2010-11-14 22:18 . 2010-11-15 07:16 -------- d-----w- c:\program files\ZHPDiag
2010-11-13 23:09 . 2010-11-13 23:21 -------- d-----w- c:\windows\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}
2010-11-13 23:08 . 2010-11-13 23:19 -------- d-----w- c:\program files\burnatonce
2010-11-13 21:17 . 2010-11-13 21:35 -------- d-----w- C:\shika
2010-11-12 18:54 . 2010-11-15 02:52 -------- d-----w- c:\program files\tmp
2010-11-12 04:40 . 2010-11-15 06:45 -------- d-----w- c:\program files\TabletPlugins
2010-11-12 04:39 . 2009-11-24 19:25 7892776 ------w- c:\windows\system32\WacomTablet.cpl
2010-11-12 04:39 . 2009-08-27 22:06 16168 ----a-w- c:\windows\system32\drivers\wacmoumonitor.sys
2010-11-12 04:39 . 2009-11-24 19:25 412456 ------w- c:\windows\system32\Wacom_Tablet.dll
2010-11-12 04:39 . 2009-11-24 19:25 4463400 ------w- c:\windows\system32\Wacom_Tablet.exe
2010-11-12 00:53 . 2010-11-12 00:59 -------- d-----w- c:\documents and settings\abdel\Application Data\Mumble
2010-11-12 00:52 . 2010-11-15 06:26 -------- d-----w- c:\program files\Mumble
2010-11-07 03:44 . 2010-11-07 03:44 -------- d-----w- c:\documents and settings\abdel\Local Settings\Application Data\Downloaded Installations
2010-11-07 03:39 . 2010-11-07 03:39 123327 ----a-r- c:\documents and settings\abdel\Application Data\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\NewShortcut1_42929F0FCE1447AF9FC7FF297A603021_1.exe
2010-11-07 03:38 . 2010-11-07 03:38 -------- d-----w- c:\windows\system32\vmm32
2010-11-07 03:38 . 2010-11-07 03:38 -------- d-----w- c:\program files\Dell
2010-11-02 19:47 . 2010-11-11 20:10 -------- d-----w- c:\documents and settings\abdel\Application Data\teamspeak2
2010-11-02 19:47 . 2010-11-02 19:47 34064 ----a-w- c:\windows\system32\lhacm.acm
2010-11-02 19:46 . 2010-11-15 06:45 -------- d-----w- c:\program files\Teamspeak2_RC2
2010-10-30 16:15 . 2010-10-31 06:03 -------- d-----w- c:\documents and settings\abdel\Application Data\DriverCure
2010-10-30 16:15 . 2010-11-10 07:03 -------- d-----w- c:\documents and settings\All Users\Application Data\DriverCure
2010-10-30 16:15 . 2010-10-30 16:15 -------- d-----w- c:\program files\Fichiers communs\ParetoLogic
2010-10-30 16:15 . 2010-10-30 16:15 -------- d-----w- c:\documents and settings\All Users\Application Data\ParetoLogic
2010-10-30 14:08 . 2010-10-30 14:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Dell
2010-10-30 14:08 . 2010-10-30 14:08 -------- d-----w- C:\dell
2010-10-22 20:31 . 2010-11-12 23:15 -------- d-----w- c:\program files\ma-config.com
2010-10-22 20:31 . 2010-10-22 20:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-10-21 19:07 . 2010-10-27 03:19 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-21 19:07 . 2010-10-27 03:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-15 00:17 . 2006-03-02 12:00 1037824 ----a-w- c:\windows\explorer.exe
2010-11-15 00:16 . 2006-03-02 12:00 512000 ----a-w- c:\windows\system32\winlogon.exe
2010-11-03 18:17 . 2010-02-20 19:24 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin
2010-09-05 01:10 . 2010-09-05 01:10 737280 ----a-w- c:\windows\iun6002.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz0.dll" [2010-10-01 2734688]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-10-01 06:56 2734688 ----a-w- c:\program files\Vuze_Remote\tbVuz0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz0.dll" [2010-10-01 2734688]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\tbVuz0.dll" [2010-10-01 2734688]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Steam"="c:\program files\Steam\Steam.exe" [2010-08-24 1242448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-07-15 33714684]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]
"hpqSRMon"="" [BU]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2008-03-06 236016]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]
"Sweri"="c:\windows\aveqovuzito.dll" [BU]
"Athan"="c:\program files\Athan\Athan.exe" [2010-03-27 1122304]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-07-08 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\zal.exe" [2010-04-29 1090952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\torchlight\\Torchlight.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [21/02/2010 20:22 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/03/2010 18:49 135664]
S2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\program files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [19/07/2009 23:55 4446752]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [31/03/2010 14:37 1373480]
S2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [11/11/2010 23:39 4463400]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [12/09/2010 14:30 251248]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [20/02/2010 14:11 1381632]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [11/11/2010 23:39 16168]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - Dwsh00002071
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
2010-10-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]
2010-11-13 c:\windows\Tasks\DriverCure Startup.job
- c:\documents and settings\abdel\Mes documents\DriverCure\DriverCure.exe [2010-06-17 21:28]
2010-11-10 c:\windows\Tasks\DriverCure.job
- c:\documents and settings\abdel\Mes documents\DriverCure\DriverCure.exe [2010-06-17 21:28]
2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 23:49]
2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 23:49]
2010-11-11 c:\windows\Tasks\ParetoLogic Registration3.job
- c:\program files\Fichiers communs\ParetoLogic\UUS3\UUS3.dll [2010-04-06 21:30]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\abdel\Application Data\Mozilla\Firefox\Profiles\311d2pv7.default\
FF - plugin: c:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\TabletPlugins\npwacom.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
AddRemove-Vuze_Remote Toolbar - c:\progra~1\VUZE_R~1\UNWISE.EXE
AddRemove-Windows Media Format Runtime - c:\program files\Windows Media Player\wmsetsdk.exe
AddRemove-WinRAR archiver - c:\program files\WinRAR\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-16 02:02
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-11-16 02:06:14
ComboFix-quarantined-files.txt 2010-11-16 07:06
ComboFix2.txt 2010-11-13 21:35
Avant-CF: 68 040 003 584 octets libres
Après-CF: 68 352 397 312 octets libres
- - End Of File - - 7E460D116CDEA312F2236C52DCA3A376
Voici le rapport :
ComboFix 10-11-15.05 - abdel 16/11/2010 1:55.1.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.767.412 [GMT -5:00]
Lancé depuis: c:\documents and settings\abdel\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
[i] ADS - explorer.exe: deleted 24 bytes in 1 streams. /i
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\microsoft\watermark.exe
c:\windows\system32\dmlconf.dat
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-16 au 2010-11-16 ))))))))))))))))))))))))))))))))))))
.
2010-11-15 21:50 . 2010-11-15 21:50 75181 ----a-w- c:\windows\Explorermgr.exe
2010-11-15 03:36 . 2010-11-15 03:54 -------- d-----w- c:\documents and settings\abdel\DoctorWeb
2010-11-15 01:19 . 2010-11-15 01:19 -------- d-----w- c:\program files\Ad-Remover
2010-11-15 00:02 . 2010-11-15 00:03 -------- d-----w- c:\windows\LastGood
2010-11-14 23:58 . 2008-04-14 00:34 294912 ------w- c:\program files\Windows Media Player\dlimport.exe
2010-11-14 23:58 . 2008-04-14 00:34 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2010-11-14 23:54 . 2010-11-14 23:54 -------- d-----w- c:\windows\EHome
2010-11-14 22:18 . 2010-11-15 07:16 -------- d-----w- c:\program files\ZHPDiag
2010-11-13 23:09 . 2010-11-13 23:21 -------- d-----w- c:\windows\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}
2010-11-13 23:08 . 2010-11-13 23:19 -------- d-----w- c:\program files\burnatonce
2010-11-13 21:17 . 2010-11-13 21:35 -------- d-----w- C:\shika
2010-11-12 18:54 . 2010-11-15 02:52 -------- d-----w- c:\program files\tmp
2010-11-12 04:40 . 2010-11-15 06:45 -------- d-----w- c:\program files\TabletPlugins
2010-11-12 04:39 . 2009-11-24 19:25 7892776 ------w- c:\windows\system32\WacomTablet.cpl
2010-11-12 04:39 . 2009-08-27 22:06 16168 ----a-w- c:\windows\system32\drivers\wacmoumonitor.sys
2010-11-12 04:39 . 2009-11-24 19:25 412456 ------w- c:\windows\system32\Wacom_Tablet.dll
2010-11-12 04:39 . 2009-11-24 19:25 4463400 ------w- c:\windows\system32\Wacom_Tablet.exe
2010-11-12 00:53 . 2010-11-12 00:59 -------- d-----w- c:\documents and settings\abdel\Application Data\Mumble
2010-11-12 00:52 . 2010-11-15 06:26 -------- d-----w- c:\program files\Mumble
2010-11-07 03:44 . 2010-11-07 03:44 -------- d-----w- c:\documents and settings\abdel\Local Settings\Application Data\Downloaded Installations
2010-11-07 03:39 . 2010-11-07 03:39 123327 ----a-r- c:\documents and settings\abdel\Application Data\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\NewShortcut1_42929F0FCE1447AF9FC7FF297A603021_1.exe
2010-11-07 03:38 . 2010-11-07 03:38 -------- d-----w- c:\windows\system32\vmm32
2010-11-07 03:38 . 2010-11-07 03:38 -------- d-----w- c:\program files\Dell
2010-11-02 19:47 . 2010-11-11 20:10 -------- d-----w- c:\documents and settings\abdel\Application Data\teamspeak2
2010-11-02 19:47 . 2010-11-02 19:47 34064 ----a-w- c:\windows\system32\lhacm.acm
2010-11-02 19:46 . 2010-11-15 06:45 -------- d-----w- c:\program files\Teamspeak2_RC2
2010-10-30 16:15 . 2010-10-31 06:03 -------- d-----w- c:\documents and settings\abdel\Application Data\DriverCure
2010-10-30 16:15 . 2010-11-10 07:03 -------- d-----w- c:\documents and settings\All Users\Application Data\DriverCure
2010-10-30 16:15 . 2010-10-30 16:15 -------- d-----w- c:\program files\Fichiers communs\ParetoLogic
2010-10-30 16:15 . 2010-10-30 16:15 -------- d-----w- c:\documents and settings\All Users\Application Data\ParetoLogic
2010-10-30 14:08 . 2010-10-30 14:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Dell
2010-10-30 14:08 . 2010-10-30 14:08 -------- d-----w- C:\dell
2010-10-22 20:31 . 2010-11-12 23:15 -------- d-----w- c:\program files\ma-config.com
2010-10-22 20:31 . 2010-10-22 20:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-10-21 19:07 . 2010-10-27 03:19 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-21 19:07 . 2010-10-27 03:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-15 00:17 . 2006-03-02 12:00 1037824 ----a-w- c:\windows\explorer.exe
2010-11-15 00:16 . 2006-03-02 12:00 512000 ----a-w- c:\windows\system32\winlogon.exe
2010-11-03 18:17 . 2010-02-20 19:24 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin
2010-09-05 01:10 . 2010-09-05 01:10 737280 ----a-w- c:\windows\iun6002.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz0.dll" [2010-10-01 2734688]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-10-01 06:56 2734688 ----a-w- c:\program files\Vuze_Remote\tbVuz0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuz0.dll" [2010-10-01 2734688]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\tbVuz0.dll" [2010-10-01 2734688]
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Steam"="c:\program files\Steam\Steam.exe" [2010-08-24 1242448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-07-15 33714684]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]
"hpqSRMon"="" [BU]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2008-03-06 236016]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]
"Sweri"="c:\windows\aveqovuzito.dll" [BU]
"Athan"="c:\program files\Athan\Athan.exe" [2010-03-27 1122304]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-07-08 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\zal.exe" [2010-04-29 1090952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\torchlight\\Torchlight.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [21/02/2010 20:22 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/03/2010 18:49 135664]
S2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\program files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [19/07/2009 23:55 4446752]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [31/03/2010 14:37 1373480]
S2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [11/11/2010 23:39 4463400]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [12/09/2010 14:30 251248]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [20/02/2010 14:11 1381632]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [11/11/2010 23:39 16168]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - Dwsh00002071
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
2010-10-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]
2010-11-13 c:\windows\Tasks\DriverCure Startup.job
- c:\documents and settings\abdel\Mes documents\DriverCure\DriverCure.exe [2010-06-17 21:28]
2010-11-10 c:\windows\Tasks\DriverCure.job
- c:\documents and settings\abdel\Mes documents\DriverCure\DriverCure.exe [2010-06-17 21:28]
2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 23:49]
2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 23:49]
2010-11-11 c:\windows\Tasks\ParetoLogic Registration3.job
- c:\program files\Fichiers communs\ParetoLogic\UUS3\UUS3.dll [2010-04-06 21:30]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\abdel\Application Data\Mozilla\Firefox\Profiles\311d2pv7.default\
FF - plugin: c:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\TabletPlugins\npwacom.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
AddRemove-Vuze_Remote Toolbar - c:\progra~1\VUZE_R~1\UNWISE.EXE
AddRemove-Windows Media Format Runtime - c:\program files\Windows Media Player\wmsetsdk.exe
AddRemove-WinRAR archiver - c:\program files\WinRAR\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-16 02:02
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-11-16 02:06:14
ComboFix-quarantined-files.txt 2010-11-16 07:06
ComboFix2.txt 2010-11-13 21:35
Avant-CF: 68 040 003 584 octets libres
Après-CF: 68 352 397 312 octets libres
- - End Of File - - 7E460D116CDEA312F2236C52DCA3A376
content aussi mais c'est ardu
relance MalwareByte's Anti-Malware
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
relance MalwareByte's Anti-Malware
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Le scan complet de MalwareByte's vient de se terminer et cette fois il n'a rien trouvé.
Le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5124
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512
16/11/2010 03:09:48
mbam-log-2010-11-16 (03-09-48).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 287370
Temps écoulé: 52 minute(s), 49 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Je vais devoir m'absenter. Je serai de retour se soir peu-être. A++
Le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5124
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512
16/11/2010 03:09:48
mbam-log-2010-11-16 (03-09-48).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 287370
Temps écoulé: 52 minute(s), 49 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Je vais devoir m'absenter. Je serai de retour se soir peu-être. A++
