Pc en mode sans echec infecté...

mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   -  
 gen-hackman -
Bonjour,

Cela fait quelques mois que je tourne mon PC en mode sans échec avec réseaux.
Le problème est que si je démarre mon pc en mode normal l'ordi fonctionne normalement sauf au moment où l'éran doit afficher les différentes session, l'écran reste noir avec le curseur de la souris.

Puis, j'ai encore un autre problème... Je pense que mes ports usb sont infecté dès que je branche une clé usb, il y a des fichiers qui ne sont pas supprimable, et des fichier qui se créer tout seul.

Y a-t-il une solution pour que mon pc fonctionne normalement ? ^^

Merci.

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Windows Vista Edition Familiale est démarré en mode sans échec avec réseaux, mais le démarrage normal aboutit à un écran noir au chargement des sessions et ports USB infectés par des fichiers qui se créent.
Plusieurs réponses proposent des analyses et outils de désinfection, notamment OTL et ComboFix, et des liens vers des rapports ou fichiers à examiner pour comprendre les comportements suspects.
Parmi les échanges, certains participants décrivent des étapes de clarification et des conseils sur les fichiers cachés, tout en proposant des solutions partielles sans conclure à une issue unique.
En cas de désinfection, des éléments évoquent le recachage des fichiers et la consultation d’un rapport système, par exemple moved files, pour poursuivre l’identification des fichiers restants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut

    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  2. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Je suis désoler d'avoir pris du temps, voilà le rapport:

    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: Yasmine (Administrateur) # [HP-Pavilion GG685AA-ABF a6117.fr]
    Mis à jour le 05/12/10 par El Desaparecido / C_XX
    Lancé à 16:35:47 | 19/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Genuine Intel(R) CPU 2140 @ 1.60GHz
    CPU 2: Genuine Intel(R) CPU 2140 @ 1.60GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.18975

    Pare-feu Windows: Activé
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 225 Go (64 Go libre(s) - 28%) [HP] # NTFS
    D:\ -> Disque fixe # 8 Go (1010 Mo libre(s) - 12%) [Recovery] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 4 Go (1 Go libre(s) - 33%) [] # FAT32
    G:\ -> Disque amovible # 2 Go (2 Go libre(s) - 82%) [] # FAT

    ################## | Éléments infectieux |

    Supprimé! C:\Users\Yasmine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd
    Supprimé! C:\Users\YASMIN~1.MHA\AppData\Local\Temp\IXP426.TMP
    Supprimé! C:\Windows\[TheMoonlight].txt
    Supprimé! C:\$RECYCLE.BIN\S-1-5-18
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2152478756-3922319563-605102323-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3037592513-2690114496-2124990123-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1000
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1001
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1003
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1004
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1005
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1006
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1007
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1008
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1009
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1010
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1011
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1012
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1015
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1016
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1017
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1018
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1019
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1020
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1021
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1022
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1023
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1028
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-501
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1001
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1003
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1004
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1005
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1006
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1007
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1008
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1009
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1010
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1011
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1012
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1015
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1016
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1017
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1018
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1019
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1020
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1021
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1022
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1023
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-1028
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-500
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524053536-2482800985-1427226785-501

    ################## | Registre |

    Supprimé! HKCU\Software\VB and VBA Program Settings\noGods
    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\F

    ################## | Listing |

    [19/12/2010 - 16:48:51 | SHD ] C:\$Recycle.Bin
    [27/06/2010 - 12:31:08 | D ] C:\1494c1f3fdf731fdc8dd3c0811
    [13/12/2010 - 20:28:41 | D ] C:\2a9dca63c5c3d221382c89
    [25/06/2010 - 17:24:48 | D ] C:\5366f5521830e147751277c8
    [26/10/2010 - 09:05:50 | N | 2006] C:\aqua_bitmap.cpp
    [12/06/2007 - 05:32:50 | N | 74] C:\autoexec.bat
    [10/11/2008 - 17:52:37 | RASHD ] C:\autorun.inf
    [10/09/2009 - 18:12:56 | D ] C:\Boot
    [11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
    [12/06/2007 - 14:51:41 | N | 8192] C:\BOOTSECT.BAK
    [18/09/2006 - 22:43:37 | N | 10] C:\config.sys
    [02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
    [27/06/2010 - 21:32:15 | D ] C:\f200306fd0e88663cdc2b8
    [28/07/2008 - 18:02:25 | N | 2587] C:\fixnavi.txt
    [26/12/2009 - 21:56:21 | D ] C:\games
    [30/08/2007 - 14:59:12 | D ] C:\hp
    [20/02/2009 - 15:17:10 | N | 2] C:\idioma.ini
    [01/10/2007 - 13:16:25 | N | 0] C:\IO.SYS
    [01/03/2009 - 17:45:38 | N | 440] C:\IPH.PH
    [01/10/2007 - 13:16:25 | N | 0] C:\MSDOS.SYS
    [17/11/2008 - 18:10:14 | RHD ] C:\MSOCache
    [05/01/2002 - 03:38:38 | N | 54784] C:\msvci70.dll
    [08/01/2010 - 17:23:49 | D ] C:\NVIDIA
    [29/11/2008 - 13:06:49 | N | 718] C:\os110921.bin
    [19/12/2010 - 11:57:37 | ASH | 2460626944] C:\pagefile.sys
    [02/12/2010 - 16:18:52 | D ] C:\Program Files
    [05/12/2010 - 17:40:24 | D ] C:\ProgramData
    [12/06/2007 - 05:19:24 | N | 471] C:\RHDSetup.log
    [25/03/2009 - 19:23:27 | N | 159] C:\Setup.log
    [15/12/2010 - 02:09:14 | SHD ] C:\System Volume Information
    [19/12/2010 - 16:48:51 | D ] C:\UsbFix
    [19/12/2010 - 16:35:57 | A | 907] C:\UsbFix.txt
    [06/12/2010 - 19:11:59 | D ] C:\Users
    [19/12/2010 - 16:43:23 | D ] C:\Windows
    [26/12/2009 - 16:16:12 | D ] C:\xampp
    [19/12/2010 - 16:48:51 | SHD ] D:\$RECYCLE.BIN
    [10/11/2008 - 17:52:37 | RASHD ] D:\autorun.inf
    [04/10/2006 - 00:02:44 | N | 438328] D:\boo.mgr
    [12/06/2007 - 16:36:52 | D ] D:\boot
    [02/11/2006 - 00:53:58 | SH | 438840] D:\bootmgr
    [13/10/2006 - 15:00:52 | SH | 1322] D:\Desktop.ini
    [12/06/2007 - 16:36:52 | D ] D:\hp
    [12/06/2007 - 16:36:50 | N | 106] D:\MASTER.LOG
    [30/08/2007 - 13:35:25 | D ] D:\PC-Doctor 5 for Win PE
    [30/08/2007 - 13:35:25 | N | 429] D:\pcdr.ini
    [12/06/2007 - 16:36:52 | D ] D:\PRELOAD
    [10/09/2002 - 13:58:12 | N | 181616] D:\Protect.ed
    [12/06/2007 - 16:36:52 | RD ] D:\RECOVERY
    [12/06/2007 - 16:36:50 | N | 44] D:\RESTORE.INI
    [12/06/2007 - 16:36:52 | D ] D:\SOURCES
    [25/06/2007 - 12:25:57 | SHD ] D:\System Volume Information
    [07/02/2007 - 14:56:24 | N | 34] D:\SystemRecovery.txt
    [12/06/2007 - 16:36:52 | D ] D:\Windows

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    0
  3. gen-hackman
     
    hello

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  4. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Voici pour OTL >> http://www.cijoint.fr/cjlink.php?file=cj201012/cijK2YD6jf.txt

    Extra>> http://www.cijoint.fr/cjlink.php?file=cj201012/cijwK6XWoI.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    desinstalle spybot

    =====================

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :Services
    Boonty Games

    :OTL
    FF - prefs.js..network.proxy.no_proxies_on: "*.local"
    FF - prefs.js..extensions.enabledItems: 5
    FF - prefs.js..extensions.enabledItems: 3
    FF - prefs.js..extensions.enabledItems: 1
    O2 - BHO: (no name) - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - No CLSID value found. => MacroGaming SweetIM For Internet Explorer
    O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - No CLSID value found. => Infection Diverse (EoRezo.Spy)
    O3 - HKLM\..\Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No CLSID value found. => MacroGaming SweetIM For MSIE
    O4 - HKLM..\Run: [NPSStartup] File not found
    O4 - HKLM..\Run: [T] File not found
    O4 - HKLM..\Run: [T35Z840] C:\Windows\sa-865388.exe ()
    O4 - HKU\S-1-5-21-524053536-2482800985-1427226785-1017..\Run: [AdobeBridge] File not found
    O4 - HKU\S-1-5-21-524053536-2482800985-1427226785-1017..\Run: [T1TT4] File not found
    O4 - HKLM..\RunOnce: [] File not found
    O4 - Startup: C:\Users\Yasmine.MHADJOU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\No-IP DUC.lnk = C:\Program Files\No-IP\DUC30.exe File not found
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) => FlashPlayer activeX

    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=145

    :Files
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\pcouffin.sys
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\No-IP DUC.lnk
    C:\Windows\Ti645063ta.exe
    C:\Windows\System32\784054645063l.exe
    C:\Windows\sa-865388.exe
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\rbuwzv.dat => Infection Diverse
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\avdrn.dat
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\inst.exe
    @Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:A42A9F39
    @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:A4C20950
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:1D6686D8
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:EA2FBCA1
    @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:41099CE9
    @Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:74699137
    @Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:1CD23587
    @Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:62197B73
    @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:2B99FE60
    @Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:5D10517E
    @Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:C95B63DA
    @Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:F3176E45

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  7. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Le rapport de n'est pas ouvert.

    Mon bureau est rempli de nouveau fichiers qui sont moins coloré que les autres.

    Et le Personas de mon firefox s'est changé tout seul. ^^
    0
  8. gen-hackman
     
    oui il faudra recacher les fichiers cachés en fin de desinfection

    le rapport :

    C:\_OTL\Moved Files\la_date_et_l'heure.txt
    0
  9. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Ok ^^
    J'ai juste enlevé le nom des session utilisateur.

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named Teatimer.exe was found!
    ========== SERVICES/DRIVERS ==========
    Service Boonty Games stopped successfully!
    Service Boonty Games deleted successfully!
    ========== OTL ==========
    Prefs.js: "*.local" removed from network.proxy.no_proxies_on
    Prefs.js: 5 removed from extensions.enabledItems
    Prefs.js: 3 removed from extensions.enabledItems
    Prefs.js: 1 removed from extensions.enabledItems
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\T deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\T35Z840 deleted successfully.
    C:\Windows\sa-865388.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-524053536-2482800985-1427226785-1017\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-524053536-2482800985-1427226785-1017\Software\Microsoft\Windows\CurrentVersion\Run\\T1TT4 deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ deleted successfully.
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\No-IP DUC.lnk moved successfully.
    Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
    C:\Windows\Downloaded Program Files\erma.inf moved successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"NoDriveTypeAutoRun"|145 /E : value set successfully!
    ========== FILES ==========
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\pcouffin.sys moved successfully.
    File\Folder C:\Users\Yasmine.MHADJOU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\No-IP DUC.lnk not found.
    C:\Windows\Ti645063ta.exe moved successfully.
    C:\Windows\System32\784054645063l.exe moved successfully.
    File\Folder C:\Windows\sa-865388.exe not found.
    File\Folder C:\Users\Yasmine.MHADJOU\AppData\Roaming\rbuwzv.dat => Infection Diverse not found.
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\avdrn.dat moved successfully.
    C:\Users\Yasmine.MHADJOU\AppData\Roaming\inst.exe moved successfully.
    ADS C:\ProgramData\TEMP:A42A9F39 deleted successfully.
    ADS C:\ProgramData\TEMP:A4C20950 deleted successfully.
    ADS C:\ProgramData\TEMP:1D6686D8 deleted successfully.
    ADS C:\ProgramData\TEMP:EA2FBCA1 deleted successfully.
    ADS C:\ProgramData\TEMP:41099CE9 deleted successfully.
    ADS C:\ProgramData\TEMP:74699137 deleted successfully.
    ADS C:\ProgramData\TEMP:1CD23587 deleted successfully.
    ADS C:\ProgramData\TEMP:62197B73 deleted successfully.
    ADS C:\ProgramData\TEMP:2B99FE60 deleted successfully.
    ADS C:\ProgramData\TEMP:5D10517E deleted successfully.
    ADS C:\ProgramData\TEMP:C95B63DA deleted successfully.
    ADS C:\ProgramData\TEMP:F3176E45 deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 6193169 bytes
    ->Flash cache emptied: 1602237 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Invité
    ->Temp folder emptied: 23501582 bytes
    ->Temporary Internet Files folder emptied: 57848205 bytes
    ->FireFox cache emptied: 87628590 bytes
    ->Apple Safari cache emptied: 1061888 bytes
    ->Flash cache emptied: 1571192 bytes

    User: Public

    User: Yasmine
    ->Temp folder emptied: 65536 bytes
    ->Java cache emptied: 2050814 bytes
    ->Flash cache emptied: 1597997 bytes

    User: Nom_utilisateur
    ->Temp folder emptied: 475958970 bytes
    ->Temporary Internet Files folder emptied: 168403511 bytes
    ->Java cache emptied: 8021784 bytes
    ->FireFox cache emptied: 101307570 bytes
    ->Google Chrome cache emptied: 314358218 bytes
    ->Apple Safari cache emptied: 11570176 bytes
    ->Flash cache emptied: 23540623 bytes

    User: Nom_utilisateur
    ->Temp folder emptied: 6022531 bytes
    ->Temporary Internet Files folder emptied: 15112437 bytes
    ->FireFox cache emptied: 3796047 bytes
    ->Flash cache emptied: 1560840 bytes

    User: Nom_utilisateur
    ->Temp folder emptied: 0 bytes

    User: Nom_utilisateur
    ->Java cache emptied: 3543094 bytes
    ->Flash cache emptied: 1601517 bytes

    User: Nom_utilisateur
    ->Temp folder emptied: 6129658 bytes
    ->Temporary Internet Files folder emptied: 6131699 bytes
    ->FireFox cache emptied: 2999166 bytes

    User: Nom_utilisateur
    ->Temp folder emptied: 10649000 bytes
    ->Temporary Internet Files folder emptied: 11629546 bytes
    ->FireFox cache emptied: 3385044 bytes
    ->Flash cache emptied: 1560576 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 89365650 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    RecycleBin emptied: 253393110 bytes

    Total Files Cleaned = 1 624,00 mb

    OTL by OldTimer - Version 3.2.17.3 log created on 12192010_182605
    0
  10. gen-hackman
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  11. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Le redémarrage n'a pas pu bien s'effectué, car comme je démarre en mode sans echec je suis obligé de faire F8.

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5360

    Windows 6.0.6002 Service Pack 2 (Safe Mode)
    Internet Explorer 8.0.6001.18975

    20/12/2010 12:45:10
    mbam-log-2010-12-20 (12-45-10).txt

    Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
    Elément(s) analysé(s): 578367
    Temps écoulé: 1 heure(s), 41 minute(s), 49 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 20

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\nzelltv (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nzelltv (Trojan.Adware) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    c:\Windows\M46040 (Worm.Brontok) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\UsbFix\quarantine\C\$RECYCLE.BIN\s-1-5-21-524053536-2482800985-1427226785-1017\$RX5UYG3\trainer.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\$RECYCLE.BIN\s-1-5-21-524053536-2482800985-1427226785-1019\$R0XYPHL\trainer.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\$RECYCLE.BIN\s-1-5-21-524053536-2482800985-1427226785-1019\$R1BKOGW\trainer.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\yasmine.mhadjou\AppData\Local\Temp\Rar$EX00.263\keygen photoshop cs5 extended.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    c:\Users\yasmine.mhadjou\Desktop\keygen photoshop cs5 extended.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    c:\Users\yasmine.mhadjou\Desktop\BUREAU2\USB\macromedia studio 8.0 - keygen.exe (Riskware.Tool.CK) -> Quarantined and deleted successfully.
    c:\Users\yasmine.mhadjou\documents\macromedia studio 8.0 - keygen.exe (Riskware.Tool.CK) -> Quarantined and deleted successfully.
    c:\Users\zarianti_2\downloads\im35616.jpg-www.myspace.com.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\zarianti_2\downloads\photo147852369.jpg.exe (Worm.Bot) -> Quarantined and deleted successfully.
    g:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Quarantined and deleted successfully.
    c:\Users\Invité\Desktop\¿£Á©Æ¼ºñ.lnk (Trojan.Adware) -> Quarantined and deleted successfully.
    c:\Users\yasmine.mhadjou\Desktop\¿£Á©Æ¼ºñ.lnk (Trojan.Adware) -> Quarantined and deleted successfully.
    c:\Users\zarianti_2\Desktop\¿£Á©Æ¼ºñ.lnk (Trojan.Adware) -> Quarantined and deleted successfully.
    c:\Users\Invité\AppData\Roaming\microsoft\internet explorer\quick launch\¿£Á©Æ¼ºñ.lnk (Trojan.Adware) -> Quarantined and deleted successfully.
    c:\Users\yasmine.mhadjou\AppData\Roaming\microsoft\internet explorer\quick launch\¿£Á©Æ¼ºñ.lnk (Trojan.Adware) -> Quarantined and deleted successfully.
    c:\Users\zarianti_2\AppData\Roaming\microsoft\internet explorer\quick launch\¿£Á©Æ¼ºñ.lnk (Trojan.Adware) -> Quarantined and deleted successfully.
    c:\Windows\System32\X27001go\z784054cie.cmd (Worm.Brontok.Gen) -> Quarantined and deleted successfully.
    c:\Windows\M46040\emangeloh.exe (Worm.Brontok) -> Quarantined and deleted successfully.
    c:\Windows\M46040\ja734618blay.com (Worm.Brontok) -> Quarantined and deleted successfully.
    c:\Windows\M46040\smss.exe (Worm.Brontok) -> Quarantined and deleted successfully.
    0
  12. gen-hackman
     
    alors tu as vu ce que ca fait de s'amuser avec des cracks ?

    tu t'es ramassé tous les vers de la terre....
    0
  13. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Oui, je vois sa...^^

    Je te remercie.
    Mais... que dois-je faire ? Ils ont été supprimé ? Parce que je vois toujours les fichier caché sur mon bureau. ^^
    0
  14. gen-hackman
     
    ton pc est redemarré en mode normal là...??
    0
  15. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Non, toujours en mode sans échec avec réseau. ^^
    0
  16. gen-hackman
     
    et tu as essayé de le redemarrer en normal ?
    0
  17. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Oui .. Mais toujours rien .
    0
  18. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  19. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    OMG... J'ai honte du résultat.

    Je l'ai hébergé, comme ca ne rentrait pas en entier dans un post et que l'on supprimait mes post aussi.

    Combofix >>http://www.cijoint.fr/cjlink.php?file=cj201012/cijPyCsifr.txt
    0
  20. gen-hackman
     
    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------</gras>

    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------

    le contenu de ce fichier texte :

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijVvSsqp7.txt


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  21. mimidu94500 Messages postés 389 Date d'inscription   Statut Membre Dernière intervention   20
     
    Voilà:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cij0iDSoOg.txt
    0
  • 1
  • 2
  • 3