Virus csrss.exe ordi rame

yabbyyou -  
 yabbyyou -
Bonjour,

voila depuis quelque jour mon ordi rame. Dans le gestionnaire de tache j'ai la présence de csrss.exe, winlogon.exe. qui semble aprés recherche sur le net être la cause de soucis voir être des virus. Il m'est impossible de les stopper dans le gestionnaire de tache.
Avast ne trouve rien.
Comment proceder?
Merci

24 réponses

  • 1
  • 2
  1. sherred Messages postés 8605 Statut Membre 351
     
    * Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Rend toi sur Cijoint http://www.cijoint.fr/
    et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
    Un lien sera généré, copie et colle-le dans ta prochaine réponse.

    si les outils de désinfections que je te recommande ne fonctionnent pas
    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    puis
    clic droit sur le raccourci du programme d'analyse ou de desinfection et choisir démarrer en tant qu'administrateur
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      Le processus winlogon.exe (winlogon signifiant Windows LogOn Process, en français ouverture de session Windows) est un processus générique de Windows NT/2000/XP servant à gérer l'ouverture et la fermeture des sessions.
      0
  2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut

    csrss.exe, winlogon.exe processus légitime de windows mais il peut y'avoir du bamital en va vérifier sa

    Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Note importante :tu est sous Vista

    la désactivation du Contrôle des comptes utilisateurs est obligatoire

    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

    pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    -Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    !\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

    ::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      lancer combo sans connaitre sa version exact d'exploitation , c'etait un peu risqué non ?
      0
  3. yabbyyou
     
    Voici le lien pour le diagnostic ZHPDiag:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijjbSzgd5.txt
    0
  4. yabbyyou
     
    est ce que je suis la demarche de benurrr ou de sherred? telle est la question...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    re

    suit sherred
    0
  7. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    y'a du trojan dans l'air

    lance combofix
    0
  8. zoug
     
    Salut, disons que combofix est un peu agressif mais hyper éfficace.

    A toi ce voir...
    A++
    0
  9. yabbyyou
     
    Mes raccourcis firefox on disparu de la barre de lancement...
    voila le log de combofix:

    ComboFix 10-11-23.04 - Yabby 24.11.2010 13:59:43.1.2 - x86
    Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.1022.341 [GMT 1:00]
    ausgeführt von:: c:\users\Yabby\Desktop\ComboFix.exe
    .

    ((((((((((((((((((((((( Dateien erstellt von 2010-10-24 bis 2010-11-24 ))))))))))))))))))))))))))))))
    .

    2010-11-24 13:19 . 2010-11-24 13:19 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-11-24 12:28 . 2010-11-24 12:31 -------- d-----w- c:\program files\ZHPDiag
    2010-11-24 11:43 . 2010-11-24 11:43 -------- d-----w- c:\programdata\Skyline
    2010-11-24 11:43 . 2010-11-24 11:43 -------- d-----w- c:\program files\Skyline
    2010-11-23 07:32 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{DECCF2DC-2125-48F7-90C6-39891D3FB690}\mpengine.dll
    2010-11-20 16:05 . 2010-11-20 16:05 -------- d-----w- c:\program files\Crux Calculator v5
    2010-11-20 11:24 . 2010-11-20 11:25 -------- d-----w- c:\windows\system32\E177E04D548C4006A465EEB92D3DE021
    2010-11-20 11:23 . 2005-11-13 22:22 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\ctor.dll
    2010-11-20 11:23 . 2005-11-13 22:21 274432 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\iscript.dll
    2010-11-20 11:23 . 2005-11-13 22:20 204800 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\iuser.dll
    2010-11-20 11:23 . 2005-11-13 22:19 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\DotNetInstaller.exe
    2010-11-20 11:23 . 2005-11-13 22:16 32768 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\Objectps.dll
    2010-11-20 11:23 . 2005-11-13 22:22 757760 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\iKernel.dll
    2010-11-20 11:23 . 2010-11-20 11:23 200836 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\iGdi.dll
    2010-11-20 11:23 . 2010-11-20 11:23 331908 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\setup.dll
    2010-11-19 18:28 . 2010-11-19 18:28 -------- d-----w- c:\program files\iPod
    2010-11-19 18:28 . 2010-11-19 18:29 -------- d-----w- c:\program files\iTunes
    2010-11-19 12:12 . 2010-11-24 10:48 -------- d-----w- c:\users\Yabby\AppData\Roaming\skypePM
    2010-11-19 12:10 . 2010-11-19 12:10 -------- d-----w- c:\program files\Common Files\Skype
    2010-11-19 12:10 . 2010-11-19 12:10 -------- d-----r- c:\program files\Skype
    2010-11-19 12:10 . 2010-11-24 10:49 -------- d-----w- c:\users\Yabby\AppData\Roaming\Skype
    2010-11-19 12:10 . 2010-11-19 12:10 -------- d-----w- c:\programdata\Skype
    2010-10-31 01:02 . 2010-10-31 01:02 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
    2010-10-31 00:57 . 2010-10-31 00:57 -------- d-----w- c:\program files\Panda Security
    2010-10-30 23:55 . 2007-01-02 14:43 76584 ----a-w- c:\windows\system32\drivers\int15.sys
    2010-10-30 23:55 . 2007-01-02 14:43 15656 ----a-w- c:\windows\system32\drivers\int15_64.sys
    2010-10-30 23:48 . 2010-10-30 23:48 -------- d-----w- C:\Acer
    2010-10-30 16:46 . 2010-10-30 16:46 -------- d-----w- c:\users\Yabby\AppData\Local\PackageAware
    2010-10-30 16:27 . 2010-06-08 21:33 100896 ----a-w- c:\windows\system32\RTNUninst32.dll
    2010-10-30 16:27 . 2009-12-03 15:27 80416 ----a-w- c:\windows\system32\RtNicProp32.dll
    2010-10-30 16:27 . 2010-09-20 13:39 279656 ----a-w- c:\windows\system32\drivers\Rt86win7.sys
    2010-10-30 15:29 . 2003-08-29 16:47 7040 ----a-w- c:\windows\system32\drivers\flash.sys
    2010-10-30 10:48 . 2010-11-19 12:38 -------- d-----w- c:\users\Yabby\AppData\Roaming\TeamViewer
    2010-10-30 10:48 . 2010-10-15 14:23 25088 ----a-w- c:\windows\system32\drivers\teamviewervpn.sys
    2010-10-30 10:48 . 2010-10-30 10:48 -------- d-----w- c:\program files\TeamViewer
    2010-10-27 12:10 . 2010-08-04 06:18 641536 ----a-w- c:\windows\system32\CPFilters.dll
    2010-10-27 12:10 . 2010-08-04 06:17 417792 ----a-w- c:\windows\system32\msdri.dll
    2010-10-27 12:10 . 2010-08-04 06:15 204288 ----a-w- c:\windows\system32\MSNP.ax
    2010-10-27 12:10 . 2010-08-04 06:15 199680 ----a-w- c:\windows\system32\mpg2splt.ax
    2010-10-27 12:10 . 2010-07-13 05:22 26504 ----a-w- c:\windows\system32\drivers\Diskdump.sys
    2010-10-26 23:03 . 2010-10-26 23:03 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
    2010-10-26 16:20 . 2010-10-26 16:25 -------- d-----w- c:\users\Yabby\AppData\Roaming\DeepBurner
    2010-10-26 16:19 . 2010-10-26 16:19 -------- d-----w- c:\program files\Astonsoft

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-10-19 10:14 . 2010-10-19 10:14 1254747 ----a-w- c:\windows\facemoods.exe
    2010-10-19 09:41 . 2010-01-19 21:15 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-09-28 14:44 . 2010-09-28 14:44 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
    2010-09-28 14:44 . 2010-09-28 14:44 4184352 ----a-w- c:\windows\system32\usbaaplrc.dll
    2010-09-26 07:25 . 2010-04-10 16:32 2724120 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
    2010-09-26 07:24 . 2010-05-20 16:09 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
    2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
    2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
    2010-09-08 04:30 . 2010-10-13 12:43 978432 ----a-w- c:\windows\system32\wininet.dll
    2010-09-08 04:28 . 2010-10-13 12:43 44544 ----a-w- c:\windows\system32\licmgr10.dll
    2010-09-08 03:22 . 2010-10-13 12:43 386048 ----a-w- c:\windows\system32\html.iec
    2010-09-08 02:48 . 2010-10-13 12:43 1638912 ----a-w- c:\windows\system32\mshtml.tlb
    2010-09-07 15:12 . 2010-06-29 06:33 38848 ----a-w- c:\windows\avastSS.scr
    2010-09-07 15:11 . 2010-01-19 22:52 167592 ----a-w- c:\windows\system32\aswBoot.exe
    2010-09-07 14:52 . 2010-01-19 22:53 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-09-07 14:52 . 2010-01-19 22:53 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-09-07 14:47 . 2010-01-19 22:53 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-09-07 14:47 . 2010-01-19 22:53 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2010-09-07 14:47 . 2010-01-19 22:53 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-09-01 04:23 . 2010-10-13 12:44 12625408 ----a-w- c:\windows\system32\wmploc.DLL
    2010-09-01 02:34 . 2010-10-13 12:43 2327552 ----a-w- c:\windows\system32\win32k.sys
    2010-08-31 17:51 . 2010-05-05 13:55 2724120 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\Markup.dll
    2010-08-31 17:30 . 2010-06-02 19:01 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
    2010-08-31 04:32 . 2010-10-13 12:44 954752 ----a-w- c:\windows\system32\mfc40.dll
    2010-08-31 04:32 . 2010-10-13 12:44 954288 ----a-w- c:\windows\system32\mfc40u.dll
    2010-08-27 05:46 . 2010-10-13 12:43 168448 ----a-w- c:\windows\system32\srvsvc.dll
    2010-08-27 03:31 . 2010-10-13 12:43 310784 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-08-27 03:30 . 2010-10-13 12:43 308736 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-08-27 03:30 . 2010-10-13 12:43 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
    .

    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-06 92704]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-06 13605408]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
    "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-09-21 47904]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-11-17 421160]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-1-20 110592]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Netzwerk Server.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Netzwerk Server.lnk
    backup=c:\windows\pss\Netzwerk Server.lnk.CommonStartup
    backupExtension=.CommonStartup

    [HKLM\~\startupfolder\C:^Users^Yabby^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^LW_D_spiegeln.cmd]
    path=c:\users\Yabby\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LW_D_spiegeln.cmd
    backup=c:\windows\pss\LW_D_spiegeln.cmd.Startup
    backupExtension=.Startup

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-19 135664]
    R3 flash;flash;c:\windows\system32\drivers\flash.sys [2003-08-29 7040]
    R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-10-26 36608]
    R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\Drivers\hcw95bda.sys [2009-07-06 573440]
    R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\DRIVERS\hcw95rc.sys [2009-07-06 15616]
    R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-07-02 1343400]
    R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
    S1 aswSP;aswSP; [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
    S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-10-19 2011944]
    S3 netw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-09-15 6000640]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-09-20 279656]
    S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [2010-10-15 25088]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    Inhalt des "geplante Tasks" Ordners

    2010-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-19 21:50]

    2010-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-19 21:50]
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~3\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\users\Yabby\AppData\Roaming\Mozilla\Firefox\Profiles\q4p5p0pk.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    FF - plugin: c:\users\Yabby\AppData\Roaming\Mozilla\Firefox\Profiles\q4p5p0pk.default\extensions\{ab91efd4-6975-4081-8552-1b3922ed79e2}\plugins\npProductDetectPlugin.dll

    ---- FIREFOX Richtlinien ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    .
    ------- Dateityp-Verknüpfung -------
    .
    .scr=AutoCADScriptFile
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -

    HKLM-Run-NPSStartup - (no file)
    HKLM-Run-SunJavaUpdateSched - c:\program files\Common Files\Java\Java Update\jusched.exe

    .
    --------------------- Gesperrte Registrierungsschluessel ---------------------

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Cygnus Solutions\Cygwin]
    @Class="cygnus"
    @DACL=(02 0000)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Download]
    @DACL=(02 0000)
    "CheckExeSignatures"="yes"

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Explorer Bars]
    @DACL=(02 0000)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\International]
    @DACL=(02 0000)
    "CodePointToFontMap"=hex:2c,00,00,00,54,00,69,00,6d,00,65,00,73,00,20,00,4e,00,
    65,00,77,00,20,00,52,00,6f,00,6d,00,61,00,6e,00,00,00,00,00,00,00,00,00,00,\
    @=""

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\International\CpMRU]
    @DACL=(02 0000)
    "Enable"=dword:00000001
    "Size"=dword:0000000a
    "InitHits"=dword:00000064
    "Factor"=dword:00000014
    "Cache"=hex:bd,6f,00,00,90,00,00,00,e2,04,00,00,04,00,00,00,e8,fd,00,00,01,00,
    00,00,e3,04,00,00,01,00,00,00,e8,04,00,00,01,00,00,00,00,00,00,00,00,00,00,\

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\InternetRegistry]
    @DACL=(02 0000)
    @SACL=(02 0001)
    @Ace=(0x11) (1) (S-1-16-4096)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY]
    @DACL=(02 0000)
    @SACL=(02 0001)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Low Rights]
    @DACL=(02 0000)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\LowRegistry]
    @DACL=(02 0000)
    @SACL=(02 0001)
    @Ace=(0x11) (1) (S-1-16-4096)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage]
    @DACL=(02 0000)
    @SACL=(02 0001)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain]
    @DACL=(02 0000)
    @SACL=(02 0001)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\LowRegistry\Extensions]
    @DACL=(02 0000)
    @SACL=(02 0001)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\LowRegistry\Hewlett-Packard]
    @DACL=(02 0000)
    @SACL=(02 0001)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\LowRegistry\Shell Extensions]
    @DACL=(02 0000)
    @SACL=(02 0001)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Media]
    @DACL=(02 0000)
    "AutoplayPrompt"=hex:01

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Recovery\AdminActive]
    @DACL=(02 0000)
    "{007217E0-CD6D-11DF-8E4F-0016D34F87BB}"=dword:00000000
    "{156EEDBE-E480-11DF-8EC9-0016D34F87BB}"=dword:00000000
    "{A0E4BD20-E480-11DF-8EC9-0016D34F87BB}"=dword:00000000

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\SearchUrl]
    @DACL=(02 0000)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Security]
    @DACL=(02 0000)
    "Sending_Security"="Medium"
    "Viewing_Security"="High"
    "Safety Warning Level"="Query"

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Security\AntiPhishing]
    @DACL=(02 0000)

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\Services]
    @DACL=(02 0000)
    @=""

    [HKEY_USERS\S-1-5-21-3504130825-517287622-1498046584-1001\Software\Microsoft\Internet Explorer\URLSearchHooks]
    @DACL=(02 0000)
    "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Zeit der Fertigstellung: 2010-11-24 14:25:56
    ComboFix-quarantined-files.txt 2010-11-24 13:25

    Vor Suchlauf: 12 Verzeichnis(se), 17.733.636.096 Bytes frei
    Nach Suchlauf: 17 Verzeichnis(se), 18.288.562.176 Bytes frei

    - - End Of File - - D04014ABDBBFED363DF678142A4C532B
    0
  10. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    fait vérifier ces fichier sur virus total

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier par contre tu peut vérifier le fichier que un par un:

    c:\windows\facemoods.exe

    Clique sur envoyer le fichier.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    par moment il y'a déjà un rapport de prêt toi tu fera réanalyser le fichier maintenant
    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  11. yabbyyou
     
    je colle le log et mon post disparait !!!!????
    0
  12. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    alors fais ceci :

    Clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier enregistrer de ton scan virus total

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  13. yabbyyou
     
    est ce que je doit tester tout les fichiers dans find3M??
    0
  14. yabbyyou
     
    le lien:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijlflQ7q1.txt
    0
  15. sherred Messages postés 8605 Statut Membre 351
     
    lancé directement combo sans connaitre sa config , je n'aurai pas osé ..:)
    mais tu ne pense pas qu'un Zhp nous en apprendrait plus ?
    0
    1. yabbyyou
       
      je l'ai posté!
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      oops
      0
    3. yabbyyou
       
      qu'est ce que tu en penses'?
      0
  16. sherred Messages postés 8605 Statut Membre 351
     
    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://www.teamxscript.org/too/AD-R.exe
    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-remover située sur ton bureau

    au menu principal choisi l'option "nettoyage" .

    --> le programme va travailler ...

    * Postes le rapport qui apparait à la fin
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)
    ..................................................
    0
  17. yabbyyou
     
    voici le rapport, merci

    ======= LOGFILE OF AD-REMOVER 2.0.0.0,D | ONLY XP/VISTA/7 =======
    .
    Updated by C_XX on 19/05/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Started: 18:39:28 le 24/11/2010 | Normal boot | Option: CLEAN
    Executed from: C:\Ad-Remover\ADR.exe
    OS: Microsoft Windows 7 Home Premium ( - X86)
    Computer name: YABBY-PC (Acer Aspire 9410)
    Current user: Yabby
    .
    ============== FIXED ELEMENTS ==============
    .
    .

    (!) -- Deleted temporary files.
    .
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    .
    .
    ============== ADDITIONNAL SCAN ==============
    .
    * Mozilla FireFox Version 3.6.12 (fr) *
    .
    C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - browser.download.dir: C:\\Users\\Yabby\\Desktop
    C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - browser.download.lastDir: C:\\Users\\Yabby\\Desktop
    C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - browser.search.defaultenginename: Ask.com
    C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.12
    C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - keyword.URL: hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
    .
    ERASED: C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - user_pref("browser.search.defaultengine", "Ask.com");
    ERASED: C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - user_pref("browser.search.defaultenginename", "Ask.com");
    ERASED: C:\Users\Yabby\..\q4p5p0pk.default\prefs.js - user_pref("browser.search.order.1", "Ask.com");
    .
    * Internet Explorer Version 8.0.7600.16385 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Files
    C:\Ad-Remover\Backup: 15 Files
    .
    C:\Ad-Report-CLEAN[1].txt - 2861 Byte(s)
    .
    End at: 18:45:56, 24/11/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    0
  18. sherred Messages postés 8605 Statut Membre 351
     
    télécharge Malwarebyte's ici
    http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
    ou ici
    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    0
  19. yabbyyou
     
    et voila le rapport, merci!!

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5186

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    25.11.2010 09:18:10
    mbam-log-2010-11-25 (09-18-10).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 142422
    Temps écoulé: 8 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\65MWRMP54G (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  • 1
  • 2