Ecran noir, curseur sourie présente, etc...
Résolu/Fermé
A voir également:
- Ecran noir, curseur sourie présente, etc...
- Ecran noir pc - Guide
- Double ecran - Guide
- Curseur souris disparu - Guide
- Capture d'écran samsung - Guide
- Capture d'écran whatsapp - Accueil - Messagerie instantanée
17 réponses
Utilisateur anonyme
28 nov. 2010 à 09:45
28 nov. 2010 à 09:45
Bonjour
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-----------------------------------------------------------------------------------------------
Hostfix
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified
O4 - HKLM\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.)
O4 - HKLM\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.)
O4 - HKCU\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.)
O4 - HKCU\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.)
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At1.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At10.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At11.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At12.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At13.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At14.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At15.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At16.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At17.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At18.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At19.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At2.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At20.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At21.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At22.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At23.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At24.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At3.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At4.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At5.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At6.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At7.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At8.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At9.job
O53 - SMSR:HKLM\...\startupreg\LvdahfnglMN [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\gd86dao2.exe
O53 - SMSR:HKLM\...\startupreg\Lvdahfngne [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\mdm.exe
O53 - SMSR:HKLM\...\startupreg\Lvdahfngotd [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\install.exe
O53 - SMSR:HKLM\...\startupreg\Lvdahfngpb [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\login.exe
O53 - SMSR:HKLM\...\startupreg\LvdahfngpWZ [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\ll69vvpa.exe
-----------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.
* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ]
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.
* Enfin clique sur le bouton [ Nettoyer].
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )
A+
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-----------------------------------------------------------------------------------------------
Hostfix
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified
O4 - HKLM\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.)
O4 - HKLM\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.)
O4 - HKCU\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.)
O4 - HKCU\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.)
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At1.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At10.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At11.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At12.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At13.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At14.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At15.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At16.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At17.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At18.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At19.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At2.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At20.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At21.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At22.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At23.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At24.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At3.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At4.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At5.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At6.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At7.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At8.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\At9.job
O53 - SMSR:HKLM\...\startupreg\LvdahfnglMN [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\gd86dao2.exe
O53 - SMSR:HKLM\...\startupreg\Lvdahfngne [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\mdm.exe
O53 - SMSR:HKLM\...\startupreg\Lvdahfngotd [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\install.exe
O53 - SMSR:HKLM\...\startupreg\Lvdahfngpb [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\login.exe
O53 - SMSR:HKLM\...\startupreg\LvdahfngpWZ [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\ll69vvpa.exe
-----------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.
* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ]
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.
* Enfin clique sur le bouton [ Nettoyer].
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )
A+
Bonjour !
Merci de ton aide.
Bon pour l'instant rien n'a changé (en apparence)
A la fin du programme il ne m'a pas été demandé d'éteindre le pc mais je l'ai quand même fait.
J'ai toujours mon écran noir avec curseur de sourie.
Je suis donc de nouveau en mode sans échec avec de grosses difficultés de détournement de lien.
Voici le rapport !
---------------------------------------------------------------------------------------------------
Rapport de ZHPFix 1.12.3223 par Nicolas Coolman, Update du 27/11/2010
Fichier d'export Registre :
Run by David at 28/11/2010 14:29:15
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\LvdahfnglMN [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\gd86dao2.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Lvdahfngne [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\mdm.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Lvdahfngotd [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\install.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Lvdahfngpb [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\login.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\LvdahfngpWZ [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\ll69vvpa.exe => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.) => Valeur supprimée avec succès
O4 - HKLM\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.) => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ==========
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\users\david\appdata\local\temp\gd86dao2.exe () => Fichier absent
c:\users\david\appdata\local\temp\ll69vvpa.exe () => Fichier absent
c:\windows\tasks\at1.job => Supprimé et mis en quarantaine
c:\windows\tasks\at10.job => Supprimé et mis en quarantaine
c:\windows\tasks\at11.job => Supprimé et mis en quarantaine
c:\windows\tasks\at12.job => Supprimé et mis en quarantaine
c:\windows\tasks\at13.job => Supprimé et mis en quarantaine
c:\windows\tasks\at14.job => Supprimé et mis en quarantaine
c:\windows\tasks\at15.job => Supprimé et mis en quarantaine
c:\windows\tasks\at16.job => Supprimé et mis en quarantaine
c:\windows\tasks\at17.job => Supprimé et mis en quarantaine
c:\windows\tasks\at18.job => Supprimé et mis en quarantaine
c:\windows\tasks\at19.job => Supprimé et mis en quarantaine
c:\windows\tasks\at2.job => Supprimé et mis en quarantaine
c:\windows\tasks\at20.job => Supprimé et mis en quarantaine
c:\windows\tasks\at21.job => Supprimé et mis en quarantaine
c:\windows\tasks\at22.job => Supprimé et mis en quarantaine
c:\windows\tasks\at23.job => Supprimé et mis en quarantaine
c:\windows\tasks\at24.job => Supprimé et mis en quarantaine
c:\windows\tasks\at3.job => Supprimé et mis en quarantaine
c:\windows\tasks\at4.job => Supprimé et mis en quarantaine
c:\windows\tasks\at5.job => Supprimé et mis en quarantaine
c:\windows\tasks\at6.job => Supprimé et mis en quarantaine
c:\windows\tasks\at7.job => Supprimé et mis en quarantaine
c:\windows\tasks\at8.job => Supprimé et mis en quarantaine
c:\windows\tasks\at9.job => Supprimé et mis en quarantaine
c:\users\david\appdata\local\temp\mdm.exe () => Fichier absent
c:\users\david\appdata\local\temp\install.exe () => Fichier absent
c:\users\david\appdata\local\temp\login.exe () => Fichier absent
========== Fichier HOSTS ==========
127.0.0.164.79.73.154 drghwaweg45j4i6u3q32fg2h.com => Domaine Supprimé
127.0.0.1122.224.6.48 3b.iwillhavebigdick.com => Domaine Supprimé
127.0.0.1122.224.6.48 sb.iwillhavebigdick.com => Domaine Supprimé
127.0.0.1173.192.153.178 zsrdgrki32qw.com => Domaine Supprimé
127.0.0.1 => Domaine Supprimé
Le fichier Hosts est sain
========== Récapitulatif ==========
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
29 : Fichier(s)
6 : Fichier HOSTS
End of the scan
--------------------------------------------------------------------------------------------------
Voili voilo !
Merci de ton aide.
Bon pour l'instant rien n'a changé (en apparence)
A la fin du programme il ne m'a pas été demandé d'éteindre le pc mais je l'ai quand même fait.
J'ai toujours mon écran noir avec curseur de sourie.
Je suis donc de nouveau en mode sans échec avec de grosses difficultés de détournement de lien.
Voici le rapport !
---------------------------------------------------------------------------------------------------
Rapport de ZHPFix 1.12.3223 par Nicolas Coolman, Update du 27/11/2010
Fichier d'export Registre :
Run by David at 28/11/2010 14:29:15
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\LvdahfnglMN [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\gd86dao2.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Lvdahfngne [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\mdm.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Lvdahfngotd [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\install.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Lvdahfngpb [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\login.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\LvdahfngpWZ [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\David\AppData\Local\Temp\ll69vvpa.exe => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.) => Valeur supprimée avec succès
O4 - HKLM\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [LvdahfnglMN] C:\Users\David\AppData\Local\Temp\gd86dao2.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [LvdahfngpWZ] C:\Users\David\AppData\Local\Temp\ll69vvpa.exe (.not file.) => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ==========
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\users\david\appdata\local\temp\gd86dao2.exe () => Fichier absent
c:\users\david\appdata\local\temp\ll69vvpa.exe () => Fichier absent
c:\windows\tasks\at1.job => Supprimé et mis en quarantaine
c:\windows\tasks\at10.job => Supprimé et mis en quarantaine
c:\windows\tasks\at11.job => Supprimé et mis en quarantaine
c:\windows\tasks\at12.job => Supprimé et mis en quarantaine
c:\windows\tasks\at13.job => Supprimé et mis en quarantaine
c:\windows\tasks\at14.job => Supprimé et mis en quarantaine
c:\windows\tasks\at15.job => Supprimé et mis en quarantaine
c:\windows\tasks\at16.job => Supprimé et mis en quarantaine
c:\windows\tasks\at17.job => Supprimé et mis en quarantaine
c:\windows\tasks\at18.job => Supprimé et mis en quarantaine
c:\windows\tasks\at19.job => Supprimé et mis en quarantaine
c:\windows\tasks\at2.job => Supprimé et mis en quarantaine
c:\windows\tasks\at20.job => Supprimé et mis en quarantaine
c:\windows\tasks\at21.job => Supprimé et mis en quarantaine
c:\windows\tasks\at22.job => Supprimé et mis en quarantaine
c:\windows\tasks\at23.job => Supprimé et mis en quarantaine
c:\windows\tasks\at24.job => Supprimé et mis en quarantaine
c:\windows\tasks\at3.job => Supprimé et mis en quarantaine
c:\windows\tasks\at4.job => Supprimé et mis en quarantaine
c:\windows\tasks\at5.job => Supprimé et mis en quarantaine
c:\windows\tasks\at6.job => Supprimé et mis en quarantaine
c:\windows\tasks\at7.job => Supprimé et mis en quarantaine
c:\windows\tasks\at8.job => Supprimé et mis en quarantaine
c:\windows\tasks\at9.job => Supprimé et mis en quarantaine
c:\users\david\appdata\local\temp\mdm.exe () => Fichier absent
c:\users\david\appdata\local\temp\install.exe () => Fichier absent
c:\users\david\appdata\local\temp\login.exe () => Fichier absent
========== Fichier HOSTS ==========
127.0.0.164.79.73.154 drghwaweg45j4i6u3q32fg2h.com => Domaine Supprimé
127.0.0.1122.224.6.48 3b.iwillhavebigdick.com => Domaine Supprimé
127.0.0.1122.224.6.48 sb.iwillhavebigdick.com => Domaine Supprimé
127.0.0.1173.192.153.178 zsrdgrki32qw.com => Domaine Supprimé
127.0.0.1 => Domaine Supprimé
Le fichier Hosts est sain
========== Récapitulatif ==========
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
29 : Fichier(s)
6 : Fichier HOSTS
End of the scan
--------------------------------------------------------------------------------------------------
Voili voilo !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
28 nov. 2010 à 15:02
28 nov. 2010 à 15:02
Re
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Voila, j'ai fait tout ce que tu m'as décrit.
Dans C: Combofix j'ai 2 dossiers :
fr-FR
N_
lequel faut-il ?
Dans C: Combofix j'ai 2 dossiers :
fr-FR
N_
lequel faut-il ?
Dans fr-FR nous avons
ATTRIB.cfxxe.mui
CF9185.cfxxe.mui
cmd.cfxxe.mui
CSCRIPT.cfxxe.mui
PING.cfxxe.mui
REGT.cfxxe.mui
ROUTE.cfxxe.mui
Dans N_ nous avons
4857
27260
ATTRIB.cfxxe.mui
CF9185.cfxxe.mui
cmd.cfxxe.mui
CSCRIPT.cfxxe.mui
PING.cfxxe.mui
REGT.cfxxe.mui
ROUTE.cfxxe.mui
Dans N_ nous avons
4857
27260
Utilisateur anonyme
28 nov. 2010 à 15:56
28 nov. 2010 à 15:56
Re
As tu bien lancé ComboFix renommé?
Le fichier que je veux est celui-ci:C:\Combofix.txt
@+
As tu bien lancé ComboFix renommé?
Le fichier que je veux est celui-ci:C:\Combofix.txt
@+
Re
j'ai lancé le combofix renommé "asdehi"
et je ne trouve pas de c:\combobix.txt
je relance la manip ?
j'ai lancé le combofix renommé "asdehi"
et je ne trouve pas de c:\combobix.txt
je relance la manip ?
Utilisateur anonyme
28 nov. 2010 à 16:27
28 nov. 2010 à 16:27
Re
Il faut lancer ComboFix avec un clic droit de la souris et l'exécuter en tant que administrateur.
@+
Il faut lancer ComboFix avec un clic droit de la souris et l'exécuter en tant que administrateur.
@+
Re
Il me semble avoir fait ça.
Je te confirme donc la manipulation que je vais recommencer.
Fermer toutes les applications et anti virus (de toute façon anti-virus est arrêté)
je vais faire un clic droit sur asdehi (combofix renommé) et zou... en tant qu'administrateur.
Tu confirmes cette manip ?
Il me semble avoir fait ça.
Je te confirme donc la manipulation que je vais recommencer.
Fermer toutes les applications et anti virus (de toute façon anti-virus est arrêté)
je vais faire un clic droit sur asdehi (combofix renommé) et zou... en tant qu'administrateur.
Tu confirmes cette manip ?
Re
Euh voila... Ca a duré beaucoup plus longtemps que la dernière fois.
Avant de fermer le programme combofix m'a indiqué avoir réinstallé avec succès explorer.exe
Puis maintenant rien....
Meme en mode sans échec j'ai dorénavant un ecran noir
A l'allumage voici le message qu'il y a eu à l'écran...
"l'ordinateur 874 est introuvable dans la bibliothèque de liens dynamiques shell32.dll
La j'écris avec la connexion internet de mon GSM
...
Euh voila... Ca a duré beaucoup plus longtemps que la dernière fois.
Avant de fermer le programme combofix m'a indiqué avoir réinstallé avec succès explorer.exe
Puis maintenant rien....
Meme en mode sans échec j'ai dorénavant un ecran noir
A l'allumage voici le message qu'il y a eu à l'écran...
"l'ordinateur 874 est introuvable dans la bibliothèque de liens dynamiques shell32.dll
La j'écris avec la connexion internet de mon GSM
...
Utilisateur anonyme
28 nov. 2010 à 18:11
28 nov. 2010 à 18:11
Re
Comment as tu procédé pour accéder au mode sans echec?
@+
Comment as tu procédé pour accéder au mode sans echec?
@+
Re
Desolé pour le temps de reponse mais comme il y avait un orage j'ai Préféré tout couper ;)
Alors pour accéder au mode sans échec comme tu me le conseille je n'ai pas eu le choix de relancer l'outil redémarrage système...
Je n'ai jamais fait de restauration (Tres dommage - mais toutes mes donnes sont sur disque dur externe)
Pour l'instant ça tourne (réparation de démarrage)
Desolé pour le temps de reponse mais comme il y avait un orage j'ai Préféré tout couper ;)
Alors pour accéder au mode sans échec comme tu me le conseille je n'ai pas eu le choix de relancer l'outil redémarrage système...
Je n'ai jamais fait de restauration (Tres dommage - mais toutes mes donnes sont sur disque dur externe)
Pour l'instant ça tourne (réparation de démarrage)
J'ai enfin pu redémarrer mon pc...
Voici le résultat de C:\Combofix.txt
Résolu ?
---------------------------------------------------------------------------------------------------
ComboFix 10-11-27.01 - David 28/11/2010 16:39:33.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2941.2461 [GMT 1:00]
Lancé depuis: c:\users\David\Desktop\asdehi.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\system volume information\DFSR
c:\system volume information\DFSR\Config\DfsrMachineConfig.XML
c:\users\David\AppData\Roaming\completescan
c:\users\David\AppData\Roaming\Done.exe
c:\users\David\AppData\Roaming\install
c:\windows\system32\d55wexm.log
c:\windows\system32\jusched.exe
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\a58fa8f1a78b89e6c2a670e288053b8b\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
Une copie infectée de c:\windows\system32\drivers\crcdisk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-28 au 2010-11-28 ))))))))))))))))))))))))))))))))))))
.
2010-11-28 15:49 . 2010-11-28 16:46 -------- d-----w- c:\users\Stéphanie\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 19:18 -------- d-----w- c:\users\David\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\NeroMediaHomeUser.4\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Mcx1\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Invité\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Amandine\AppData\Local\temp
2010-11-28 14:15 . 2010-11-28 14:23 -------- d-----w- C:\asdehi
2010-11-28 14:11 . 2010-11-28 14:15 -------- d-----w- C:\ComboFix
2010-11-27 23:54 . 2010-11-28 13:29 -------- d-----w- c:\program files\ZHPDiag
2010-11-27 23:37 . 2010-11-27 23:37 -------- d-----w- c:\program files\CCleaner
2010-11-25 03:18 . 2010-11-25 03:18 -------- d-----w- c:\program files\DigiDNA
2010-11-25 03:14 . 2010-11-26 11:23 -------- d-----w- c:\users\David\AppData\Roaming\DiskAid
2010-11-25 01:37 . 2010-11-25 01:37 -------- d-----w- c:\program files\iPod
2010-11-25 01:32 . 2010-11-25 01:33 -------- d-----w- c:\program files\Bonjour
2010-11-20 18:56 . 2010-11-20 18:56 -------- d-----w- c:\users\Stéphanie\AppData\Roaming\PC Suite
2010-11-19 22:55 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{2F7A35F6-6EE7-4371-A195-56A05C65682D}\mpengine.dll
2010-11-19 17:13 . 2010-11-19 17:13 -------- d-----w- c:\users\David\AppData\Roaming\PC Suite
2010-11-19 17:13 . 2010-11-20 01:17 -------- d-----w- c:\users\David\AppData\Roaming\Nokia
2010-11-19 17:13 . 2010-11-19 17:13 -------- d-----w- c:\programdata\PC Suite
2010-11-19 17:09 . 2010-11-19 17:09 -------- d-----w- c:\users\David\{22fe6a3b-0836-4ab5-864a-f7017e6d1f49}
2010-11-19 17:08 . 2010-11-19 17:08 -------- d-----w- c:\program files\Common Files\PCSuite
2010-11-19 17:08 . 2010-11-19 17:08 -------- d-----w- c:\program files\Common Files\Nokia
2010-11-19 17:08 . 2010-11-19 17:08 -------- d-----w- c:\program files\DIFX
2010-11-19 17:08 . 2008-08-26 09:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-11-19 17:07 . 2010-11-19 17:07 -------- d-----w- c:\program files\PC Connectivity Solution
2010-11-19 17:06 . 2010-11-19 17:08 -------- d-----w- c:\program files\Nokia
2010-11-19 17:05 . 2010-11-19 17:05 -------- d-----w- c:\programdata\Installations
2010-11-19 16:46 . 2010-11-19 16:46 -------- d-----w- c:\windows\Sun
2010-11-19 05:46 . 2010-11-19 05:46 -------- d-----w- c:\program files\VirtualDJ
2010-11-18 13:54 . 2010-11-18 13:54 -------- d-----w- c:\users\David\AppData\Roaming\Malwarebytes
2010-11-18 13:54 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-18 13:54 . 2010-11-18 13:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-11-18 13:54 . 2010-11-18 13:54 -------- d-----w- c:\programdata\Malwarebytes
2010-11-18 13:54 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-18 04:36 . 2010-11-18 14:14 -------- d-----w- c:\users\David\AppData\Local\LuckyChoice
2010-11-18 04:35 . 2010-11-18 04:35 161792 ----a-w- c:\windows\system32\drivers\kroover.exe
2010-11-10 21:10 . 2010-11-10 21:10 22632 ----a-w- c:\windows\system32\drivers\dajtqrqq.sys
2010-11-10 12:13 . 2010-11-11 06:51 -------- d-----w- c:\windows\system32\MpEngineStore
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 08:33 . 2010-10-22 08:33 319488 ----a-w- c:\windows\HideWin.exe
2010-10-19 09:41 . 2009-10-02 23:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-07 11:23 . 2010-10-07 11:23 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-09-28 14:44 . 2010-09-28 14:44 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-09-28 14:44 . 2010-09-28 14:44 4184352 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-09-08 10:17 . 2010-09-08 10:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
.
[code]<pre>
c:\program files\Common Files\Apple\Mobile Device Support\bin\applesyncnotifier .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe
c:\program files\HiYo\Bin\hiyo .exe
c:\program files\IncrediMail\bin\incmail .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\SUPERAntiSpyware\superantispyware .exe
c:\program files\Windows Live\Family Safety\fsui .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
</pre>/code
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE" [2010-11-24 2424560]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"System"="explorer.exe" [2008-10-29 2923520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [N/A]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-11-17 421160]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
R2 kroover;kroover;c:\windows\system32\drivers\kroover.exe [2010-11-18 161792]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-17 12872]
R3 UsbSagCom;Mobile Device Full USB Driver;c:\windows\system32\DRIVERS\UsbSagCom.sys [2007-06-29 51712]
S1 aswSP;avast! Self Protection; [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-29 67656]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2008-06-01 33792]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]
S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2008-02-26 493568]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'
2010-11-28 c:\windows\Tasks\User_Feed_Synchronization-{F8E2FE52-ED4E-4983-B79A-1DE0F3378856}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com/
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_dp_id=18&x_format=redirect
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
FF - ProfilePath - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\
FF - prefs.js: browser.search.selectedEngine - MyStart Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - component: c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{C13489C0-3643-424e-80FB-A50077038C42}\components\LuckyChoFF.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\David\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: PC Sync 2 Synchronisation Extension: bkmrksync@nokia.com - c:\program files\Nokia\Nokia PC Suite 7\bkmrksync
FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Extension: LuckyChoFF Module: {C13489C0-3643-424e-80FB-A50077038C42} - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{C13489C0-3643-424e-80FB-A50077038C42}
FF - Extension: LuckyChoFF: {C13489C0-3643-424e-80FB-A50077038C42} - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{C13489C0-3643-424e-80FB-A50077038C42}
.
- - - - ORPHELINS SUPPRIMES - - - -
URLSearchHooks-{9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-28 20:16
Windows 6.0.6000 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'Explorer.exe'(3520)
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Nero\Nero MediaHome 4\NMMediaServerService.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\TeamViewer\Version5\TeamViewer.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-11-28 20:28:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-11-28 19:28
Avant-CF: 74 082 398 208 octets libres
Après-CF: 71 232 331 776 octets libres
- - End Of File - - 80A1F5EEB90A4A6E57843F5A8F9C3197
---------------------------------------------------------------------------------------------
Voici le résultat de C:\Combofix.txt
Résolu ?
---------------------------------------------------------------------------------------------------
ComboFix 10-11-27.01 - David 28/11/2010 16:39:33.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2941.2461 [GMT 1:00]
Lancé depuis: c:\users\David\Desktop\asdehi.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\system volume information\DFSR
c:\system volume information\DFSR\Config\DfsrMachineConfig.XML
c:\users\David\AppData\Roaming\completescan
c:\users\David\AppData\Roaming\Done.exe
c:\users\David\AppData\Roaming\install
c:\windows\system32\d55wexm.log
c:\windows\system32\jusched.exe
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\a58fa8f1a78b89e6c2a670e288053b8b\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
Une copie infectée de c:\windows\system32\drivers\crcdisk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-28 au 2010-11-28 ))))))))))))))))))))))))))))))))))))
.
2010-11-28 15:49 . 2010-11-28 16:46 -------- d-----w- c:\users\Stéphanie\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 19:18 -------- d-----w- c:\users\David\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\NeroMediaHomeUser.4\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Mcx1\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Invité\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-11-28 15:49 . 2010-11-28 15:49 -------- d-----w- c:\users\Amandine\AppData\Local\temp
2010-11-28 14:15 . 2010-11-28 14:23 -------- d-----w- C:\asdehi
2010-11-28 14:11 . 2010-11-28 14:15 -------- d-----w- C:\ComboFix
2010-11-27 23:54 . 2010-11-28 13:29 -------- d-----w- c:\program files\ZHPDiag
2010-11-27 23:37 . 2010-11-27 23:37 -------- d-----w- c:\program files\CCleaner
2010-11-25 03:18 . 2010-11-25 03:18 -------- d-----w- c:\program files\DigiDNA
2010-11-25 03:14 . 2010-11-26 11:23 -------- d-----w- c:\users\David\AppData\Roaming\DiskAid
2010-11-25 01:37 . 2010-11-25 01:37 -------- d-----w- c:\program files\iPod
2010-11-25 01:32 . 2010-11-25 01:33 -------- d-----w- c:\program files\Bonjour
2010-11-20 18:56 . 2010-11-20 18:56 -------- d-----w- c:\users\Stéphanie\AppData\Roaming\PC Suite
2010-11-19 22:55 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{2F7A35F6-6EE7-4371-A195-56A05C65682D}\mpengine.dll
2010-11-19 17:13 . 2010-11-19 17:13 -------- d-----w- c:\users\David\AppData\Roaming\PC Suite
2010-11-19 17:13 . 2010-11-20 01:17 -------- d-----w- c:\users\David\AppData\Roaming\Nokia
2010-11-19 17:13 . 2010-11-19 17:13 -------- d-----w- c:\programdata\PC Suite
2010-11-19 17:09 . 2010-11-19 17:09 -------- d-----w- c:\users\David\{22fe6a3b-0836-4ab5-864a-f7017e6d1f49}
2010-11-19 17:08 . 2010-11-19 17:08 -------- d-----w- c:\program files\Common Files\PCSuite
2010-11-19 17:08 . 2010-11-19 17:08 -------- d-----w- c:\program files\Common Files\Nokia
2010-11-19 17:08 . 2010-11-19 17:08 -------- d-----w- c:\program files\DIFX
2010-11-19 17:08 . 2008-08-26 09:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-11-19 17:07 . 2010-11-19 17:07 -------- d-----w- c:\program files\PC Connectivity Solution
2010-11-19 17:06 . 2010-11-19 17:08 -------- d-----w- c:\program files\Nokia
2010-11-19 17:05 . 2010-11-19 17:05 -------- d-----w- c:\programdata\Installations
2010-11-19 16:46 . 2010-11-19 16:46 -------- d-----w- c:\windows\Sun
2010-11-19 05:46 . 2010-11-19 05:46 -------- d-----w- c:\program files\VirtualDJ
2010-11-18 13:54 . 2010-11-18 13:54 -------- d-----w- c:\users\David\AppData\Roaming\Malwarebytes
2010-11-18 13:54 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-18 13:54 . 2010-11-18 13:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-11-18 13:54 . 2010-11-18 13:54 -------- d-----w- c:\programdata\Malwarebytes
2010-11-18 13:54 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-18 04:36 . 2010-11-18 14:14 -------- d-----w- c:\users\David\AppData\Local\LuckyChoice
2010-11-18 04:35 . 2010-11-18 04:35 161792 ----a-w- c:\windows\system32\drivers\kroover.exe
2010-11-10 21:10 . 2010-11-10 21:10 22632 ----a-w- c:\windows\system32\drivers\dajtqrqq.sys
2010-11-10 12:13 . 2010-11-11 06:51 -------- d-----w- c:\windows\system32\MpEngineStore
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-22 08:33 . 2010-10-22 08:33 319488 ----a-w- c:\windows\HideWin.exe
2010-10-19 09:41 . 2009-10-02 23:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-07 11:23 . 2010-10-07 11:23 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-09-28 14:44 . 2010-09-28 14:44 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-09-28 14:44 . 2010-09-28 14:44 4184352 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-09-08 10:17 . 2010-09-08 10:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
.
[code]<pre>
c:\program files\Common Files\Apple\Mobile Device Support\bin\applesyncnotifier .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe
c:\program files\HiYo\Bin\hiyo .exe
c:\program files\IncrediMail\bin\incmail .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\SUPERAntiSpyware\superantispyware .exe
c:\program files\Windows Live\Family Safety\fsui .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
</pre>/code
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE" [2010-11-24 2424560]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"System"="explorer.exe" [2008-10-29 2923520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [N/A]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-11-17 421160]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
R2 kroover;kroover;c:\windows\system32\drivers\kroover.exe [2010-11-18 161792]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-17 12872]
R3 UsbSagCom;Mobile Device Full USB Driver;c:\windows\system32\DRIVERS\UsbSagCom.sys [2007-06-29 51712]
S1 aswSP;avast! Self Protection; [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-29 67656]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2008-06-01 33792]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]
S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2008-02-26 493568]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'
2010-11-28 c:\windows\Tasks\User_Feed_Synchronization-{F8E2FE52-ED4E-4983-B79A-1DE0F3378856}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com/
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_dp_id=18&x_format=redirect
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
FF - ProfilePath - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\
FF - prefs.js: browser.search.selectedEngine - MyStart Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - component: c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{C13489C0-3643-424e-80FB-A50077038C42}\components\LuckyChoFF.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\David\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: PC Sync 2 Synchronisation Extension: bkmrksync@nokia.com - c:\program files\Nokia\Nokia PC Suite 7\bkmrksync
FF - Extension: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Extension: LuckyChoFF Module: {C13489C0-3643-424e-80FB-A50077038C42} - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{C13489C0-3643-424e-80FB-A50077038C42}
FF - Extension: LuckyChoFF: {C13489C0-3643-424e-80FB-A50077038C42} - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\1bx37krw.default\extensions\{C13489C0-3643-424e-80FB-A50077038C42}
.
- - - - ORPHELINS SUPPRIMES - - - -
URLSearchHooks-{9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-28 20:16
Windows 6.0.6000 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'Explorer.exe'(3520)
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Nero\Nero MediaHome 4\NMMediaServerService.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\TeamViewer\Version5\TeamViewer.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-11-28 20:28:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-11-28 19:28
Avant-CF: 74 082 398 208 octets libres
Après-CF: 71 232 331 776 octets libres
- - End Of File - - 80A1F5EEB90A4A6E57843F5A8F9C3197
---------------------------------------------------------------------------------------------
28 nov. 2010 à 02:02
Non je suis sur mon PC mais en mode sans échec. Là heureusement mon écran n'est pas noir même si mes problèmes subsistent...