Explorer.exe caprice au démarrage
Résolu/Fermé
A voir également:
- Explorer.exe caprice au démarrage
- Pc lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Forcer demarrage pc - Guide
- Écran noir au démarrage - Guide
- Programme au démarrage windows 10 - Guide
17 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 déc. 2010 à 10:41
21 déc. 2010 à 10:41
Bonjour,
En effet tu es bien infecté. mais je voudrais d'abord vérifier un fichier:
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Documents and Settings\ACER\Menu Démarrer\Programmes\Démarrage\18842031_Vcs.exe
- Clique sur Send File et puis reanalyze (si présent)
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Smart
En effet tu es bien infecté. mais je voudrais d'abord vérifier un fichier:
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Documents and Settings\ACER\Menu Démarrer\Programmes\Démarrage\18842031_Vcs.exe
- Clique sur Send File et puis reanalyze (si présent)
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 déc. 2010 à 12:24
21 déc. 2010 à 12:24
Relance AD-Remover et choisis "désinstaller"
On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Smart
On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 déc. 2010 à 15:11
21 déc. 2010 à 15:11
Ce n'est pas terminé
Maintenant tu vas faire ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Maintenant tu vas faire ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 21/12/2010 à 10:13
Modifié par Smart91 le 21/12/2010 à 10:13
Bonjour,,
On va essayer de faire un diagnostic
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
On va essayer de faire un diagnostic
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 déc. 2010 à 10:14
21 déc. 2010 à 10:14
OK. J'attends le rapport
Smart
Smart
Voila j'ai finit et ça donne ceci : http://www.cijoint.fr/cjlink.php?file=cj201012/cijiYA28hw.txt
Cordialement.
Cordialement.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 déc. 2010 à 10:56
21 déc. 2010 à 10:56
Même si c'est en liste d'attente tu poster le lien vers le rapport
Smart
Smart
Voici le rapport : http://www.virustotal.com/file-scan/report.html?id=bc6b5067a4aa46b88d13d6c35dac22c3defd13d594f4eb149afd81f051fbe156-1292925269
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 21/12/2010 à 22:10
Modifié par Smart91 le 21/12/2010 à 22:10
4 Antivirus le trouvent infectieux.
Bon tu vas faire ceci:
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Ensuite tu fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
Aide en images : "Recherche"
Cela fait deux rapports à poster. Tu peux les poster directement dans ta réponse
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Bon tu vas faire ceci:
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Ensuite tu fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
Aide en images : "Recherche"
Cela fait deux rapports à poster. Tu peux les poster directement dans ta réponse
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Pardonnez moi du retard.
Premier rapport avec AD-Remover :
======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:07:29 le 21/12/2010, Mode normal
Microsoft Windows XP Professionnel Service Pack 3 (X86)
ACER@ACER-564DF136B7 ( )
============== ACTION(S) ==============
Dossier supprimé: C:\Documents and Settings\ACER\Application Data\freeTVRadio
Dossier supprimé: C:\Program Files\freeTVRadio
Dossier supprimé: C:\Documents and Settings\ACER\Application Data\OfferBox
Dossier supprimé: C:\Program Files\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\FissaSearch
Clé supprimée: HKCU\Software\freeTVRadio
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
============== SCAN ADDITIONNEL ==============
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 6 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 21/12/2010 (735 Octet(s))
Fin à: 11:09:18, 21/12/2010
============== E.O.F ==============
Premier rapport avec AD-Remover :
======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:07:29 le 21/12/2010, Mode normal
Microsoft Windows XP Professionnel Service Pack 3 (X86)
ACER@ACER-564DF136B7 ( )
============== ACTION(S) ==============
Dossier supprimé: C:\Documents and Settings\ACER\Application Data\freeTVRadio
Dossier supprimé: C:\Program Files\freeTVRadio
Dossier supprimé: C:\Documents and Settings\ACER\Application Data\OfferBox
Dossier supprimé: C:\Program Files\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\FissaSearch
Clé supprimée: HKCU\Software\freeTVRadio
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
============== SCAN ADDITIONNEL ==============
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 6 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 21/12/2010 (735 Octet(s))
Fin à: 11:09:18, 21/12/2010
============== E.O.F ==============
Deuxieme :
############################## | UsbFix 7.036 | [Recherche]
Utilisateur: ACER (Administrateur) # ACER-564DF136B7 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 12:13:49 | 21/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 14.0.24.337 [(!) Disabled | Updated]
RAM -> 2038 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (116 Go libre(s) - 78%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (2 Go libre(s) - 22%) [MAXIME'S IP] # FAT32
################## | Éléments infectieux |
Présent! C:\Documents and Settings\ACER\Application Data\11048.exe
Présent! C:\Documents and Settings\ACER\Application Data\18842031_Vcs..exe
Présent! C:\Documents and Settings\ACER\Application Data\47052.exe
Présent! C:\Documents and Settings\ACER\Application Data\53526.exe
Présent! C:\Documents and Settings\ACER\Application Data\73889.exe
Présent! C:\Documents and Settings\ACER\Application Data\86680.exe
Présent! C:\Documents and Settings\ACER\Application Data\96308.exe
Présent! C:\Documents and Settings\ACER\Application Data\97217.exe
Présent! C:\Program Files\Windows
################## | Registre |
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{a2512547-a91a-11df-8d0e-001cbfba1c80}
Shell\AutoRun\Command = E:\ReadMe.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
############################## | UsbFix 7.036 | [Recherche]
Utilisateur: ACER (Administrateur) # ACER-564DF136B7 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 12:13:49 | 21/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 14.0.24.337 [(!) Disabled | Updated]
RAM -> 2038 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (116 Go libre(s) - 78%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (2 Go libre(s) - 22%) [MAXIME'S IP] # FAT32
################## | Éléments infectieux |
Présent! C:\Documents and Settings\ACER\Application Data\11048.exe
Présent! C:\Documents and Settings\ACER\Application Data\18842031_Vcs..exe
Présent! C:\Documents and Settings\ACER\Application Data\47052.exe
Présent! C:\Documents and Settings\ACER\Application Data\53526.exe
Présent! C:\Documents and Settings\ACER\Application Data\73889.exe
Présent! C:\Documents and Settings\ACER\Application Data\86680.exe
Présent! C:\Documents and Settings\ACER\Application Data\96308.exe
Présent! C:\Documents and Settings\ACER\Application Data\97217.exe
Présent! C:\Program Files\Windows
################## | Registre |
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{a2512547-a91a-11df-8d0e-001cbfba1c80}
Shell\AutoRun\Command = E:\ReadMe.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
############################## | UsbFix 7.036 | [Suppression]
Utilisateur: ACER (Administrateur) # ACER-564DF136B7 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 14:42:20 | 21/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 14.0.24.337 [(!) Disabled | Updated]
RAM -> 2038 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (116 Go libre(s) - 78%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (2 Go libre(s) - 22%) [MAXIME'S IP] # FAT32
################## | Éléments infectieux |
Supprimé! C:\Documents and Settings\ACER\Application Data\11048.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\18842031_Vcs..exe
Supprimé! C:\Documents and Settings\ACER\Application Data\47052.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\53526.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\73889.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\86680.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\96308.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\97217.exe
Supprimé! C:\Program Files\Windows
Supprimé! C:\Recycler\S-1-5-21-3466739729-1548092464-1637720265-1008
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a2512547-a91a-11df-8d0e-001cbfba1c80}
################## | Listing |
[09/06/2010 - 13:30:19 | D ] C:\Acer
[21/12/2010 - 11:09:48 | N | 35906] C:\bdlog.txt
[09/06/2010 - 22:12:10 | D ] C:\BOOK
[15/06/2010 - 17:30:14 | N | 212] C:\boot.ini
[05/08/2004 - 04:00:00 | N | 4952] C:\Bootfont.bin
[06/09/2004 - 14:40:26 | N | 512] C:\BOOTSECT.DOS
[15/06/2010 - 18:56:38 | D ] C:\dff538e28585111834ff28b95843290b
[09/06/2010 - 21:34:14 | D ] C:\DOCS
[09/06/2010 - 13:22:54 | D ] C:\Documents and Settings
[09/06/2010 - 21:35:14 | D ] C:\DOTNETFX
[09/08/2010 - 19:34:42 | N | 115343872] C:\eDS_PSD_drive.vmdf
[09/06/2010 - 14:36:02 | D ] C:\ELEMENTS
[21/12/2010 - 11:10:52 | ASH | 2137444352] C:\hiberfil.sys
[09/06/2010 - 21:39:46 | D ] C:\I386
[15/06/2010 - 17:23:55 | D ] C:\Intel
[06/09/2004 - 15:00:24 | N | 0] C:\IO.SYS
[06/09/2004 - 15:00:24 | N | 0] C:\MSDOS.SYS
[08/07/2010 - 09:56:45 | RHD ] C:\MSOCache
[05/08/2004 - 04:00:00 | N | 47564] C:\NTDETECT.COM
[09/06/2010 - 19:11:25 | N | 252240] C:\ntldr
[21/12/2010 - 11:10:50 | ASH | 2145386496] C:\pagefile.sys
[14/09/2007 - 06:20:22 | N | 2779] C:\Patch.rev
[26/04/2007 - 07:45:58 | N | 631] C:\PDVD.iss
[10/08/2007 - 02:04:36 | N | 73] C:\preload.aaa
[10/08/2007 - 02:04:36 | N | 73] C:\Preload.rev
[21/12/2010 - 11:08:41 | D ] C:\Program Files
[21/12/2010 - 14:44:40 | SHD ] C:\RECYCLER
[09/08/2007 - 15:43:30 | N | 595] C:\RHDSetup.log
[09/08/2007 - 15:44:14 | N | 32] C:\setup.log
[09/06/2010 - 21:54:51 | D ] C:\SUPPORT
[09/06/2010 - 21:54:59 | D ] C:\sysinfo
[09/06/2010 - 13:21:37 | SHD ] C:\System Volume Information
[09/06/2010 - 21:54:59 | D ] C:\TEM
[21/12/2010 - 14:44:40 | D ] C:\UsbFix
[21/12/2010 - 14:44:45 | A | 1867] C:\UsbFix.txt
[09/06/2010 - 21:55:03 | D ] C:\VALUEADD
[21/12/2010 - 11:11:15 | D ] C:\WINDOWS
[09/08/2007 - 15:23:44 | N | 4] C:\wps.dat
[02/07/2010 - 12:45:00 | D ] E:\iPod_Control
[02/07/2010 - 12:45:04 | D ] E:\DCIM
[02/07/2010 - 12:45:04 | N | 0] E:\.metadata_never_index
[02/07/2010 - 12:45:04 | D ] E:\Calendars
[02/07/2010 - 12:45:04 | D ] E:\Contacts
[02/07/2010 - 12:45:04 | D ] E:\Notes
[02/07/2010 - 12:45:04 | D ] E:\Recordings
[02/07/2010 - 12:45:16 | N | 4096] E:\._.Trashes
[02/07/2010 - 12:45:16 | D ] E:\.Trashes
[02/07/2010 - 12:45:16 | D ] E:\.fseventsd
[20/09/2010 - 18:19:06 | D ] E:\Photos
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ACER-564DF136B7.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
/!\ J'ai envoyé le fichier a la dite adresse.
Utilisateur: ACER (Administrateur) # ACER-564DF136B7 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 14:42:20 | 21/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 14.0.24.337 [(!) Disabled | Updated]
RAM -> 2038 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (116 Go libre(s) - 78%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (2 Go libre(s) - 22%) [MAXIME'S IP] # FAT32
################## | Éléments infectieux |
Supprimé! C:\Documents and Settings\ACER\Application Data\11048.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\18842031_Vcs..exe
Supprimé! C:\Documents and Settings\ACER\Application Data\47052.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\53526.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\73889.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\86680.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\96308.exe
Supprimé! C:\Documents and Settings\ACER\Application Data\97217.exe
Supprimé! C:\Program Files\Windows
Supprimé! C:\Recycler\S-1-5-21-3466739729-1548092464-1637720265-1008
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a2512547-a91a-11df-8d0e-001cbfba1c80}
################## | Listing |
[09/06/2010 - 13:30:19 | D ] C:\Acer
[21/12/2010 - 11:09:48 | N | 35906] C:\bdlog.txt
[09/06/2010 - 22:12:10 | D ] C:\BOOK
[15/06/2010 - 17:30:14 | N | 212] C:\boot.ini
[05/08/2004 - 04:00:00 | N | 4952] C:\Bootfont.bin
[06/09/2004 - 14:40:26 | N | 512] C:\BOOTSECT.DOS
[15/06/2010 - 18:56:38 | D ] C:\dff538e28585111834ff28b95843290b
[09/06/2010 - 21:34:14 | D ] C:\DOCS
[09/06/2010 - 13:22:54 | D ] C:\Documents and Settings
[09/06/2010 - 21:35:14 | D ] C:\DOTNETFX
[09/08/2010 - 19:34:42 | N | 115343872] C:\eDS_PSD_drive.vmdf
[09/06/2010 - 14:36:02 | D ] C:\ELEMENTS
[21/12/2010 - 11:10:52 | ASH | 2137444352] C:\hiberfil.sys
[09/06/2010 - 21:39:46 | D ] C:\I386
[15/06/2010 - 17:23:55 | D ] C:\Intel
[06/09/2004 - 15:00:24 | N | 0] C:\IO.SYS
[06/09/2004 - 15:00:24 | N | 0] C:\MSDOS.SYS
[08/07/2010 - 09:56:45 | RHD ] C:\MSOCache
[05/08/2004 - 04:00:00 | N | 47564] C:\NTDETECT.COM
[09/06/2010 - 19:11:25 | N | 252240] C:\ntldr
[21/12/2010 - 11:10:50 | ASH | 2145386496] C:\pagefile.sys
[14/09/2007 - 06:20:22 | N | 2779] C:\Patch.rev
[26/04/2007 - 07:45:58 | N | 631] C:\PDVD.iss
[10/08/2007 - 02:04:36 | N | 73] C:\preload.aaa
[10/08/2007 - 02:04:36 | N | 73] C:\Preload.rev
[21/12/2010 - 11:08:41 | D ] C:\Program Files
[21/12/2010 - 14:44:40 | SHD ] C:\RECYCLER
[09/08/2007 - 15:43:30 | N | 595] C:\RHDSetup.log
[09/08/2007 - 15:44:14 | N | 32] C:\setup.log
[09/06/2010 - 21:54:51 | D ] C:\SUPPORT
[09/06/2010 - 21:54:59 | D ] C:\sysinfo
[09/06/2010 - 13:21:37 | SHD ] C:\System Volume Information
[09/06/2010 - 21:54:59 | D ] C:\TEM
[21/12/2010 - 14:44:40 | D ] C:\UsbFix
[21/12/2010 - 14:44:45 | A | 1867] C:\UsbFix.txt
[09/06/2010 - 21:55:03 | D ] C:\VALUEADD
[21/12/2010 - 11:11:15 | D ] C:\WINDOWS
[09/08/2007 - 15:23:44 | N | 4] C:\wps.dat
[02/07/2010 - 12:45:00 | D ] E:\iPod_Control
[02/07/2010 - 12:45:04 | D ] E:\DCIM
[02/07/2010 - 12:45:04 | N | 0] E:\.metadata_never_index
[02/07/2010 - 12:45:04 | D ] E:\Calendars
[02/07/2010 - 12:45:04 | D ] E:\Contacts
[02/07/2010 - 12:45:04 | D ] E:\Notes
[02/07/2010 - 12:45:04 | D ] E:\Recordings
[02/07/2010 - 12:45:16 | N | 4096] E:\._.Trashes
[02/07/2010 - 12:45:16 | D ] E:\.Trashes
[02/07/2010 - 12:45:16 | D ] E:\.fseventsd
[20/09/2010 - 18:19:06 | D ] E:\Photos
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ACER-564DF136B7.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
/!\ J'ai envoyé le fichier a la dite adresse.
Suite au redémarage de Malwarebytes, le probleme de cette fenetre n'est apparament plus. J'espere que cela continuera..
rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5366
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
21/12/2010 16:52:21
mbam-log-2010-12-21 (16-52-21).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 227152
Temps écoulé: 1 heure(s), 11 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6yh606q3-ky26-28l5-83pk-6m8wyu0jdh5d} (Generic.Bot.H) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP124\A0024200.exe (PUP.Adware.Agent) -> No action taken.
C:\Documents and Settings\ACER\Application Data\IEXPLORE.EXE (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\ACER\Application Data\Windows\explorer.exe (Backdoor.Bot) -> No action taken.
rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5366
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
21/12/2010 16:52:21
mbam-log-2010-12-21 (16-52-21).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 227152
Temps écoulé: 1 heure(s), 11 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6yh606q3-ky26-28l5-83pk-6m8wyu0jdh5d} (Generic.Bot.H) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP124\A0024200.exe (PUP.Adware.Agent) -> No action taken.
C:\Documents and Settings\ACER\Application Data\IEXPLORE.EXE (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\ACER\Application Data\Windows\explorer.exe (Backdoor.Bot) -> No action taken.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 déc. 2010 à 17:08
21 déc. 2010 à 17:08
Tu n'as pas suivi ce que j'ai dit. Il était indiqué
1. Faire la mise à jour.
2. Vérifier que tout est bien coché et cliquer sur "Supprimer la sélection" => et ensuite sur "OK"
Il faut recommencer
Smart
1. Faire la mise à jour.
2. Vérifier que tout est bien coché et cliquer sur "Supprimer la sélection" => et ensuite sur "OK"
Il faut recommencer
Smart
C'est ce que j'ai fait pourtant et je le suis sure. J'ai aussi été dans Démarer/éxécuer et puis regedit, j'ai fait un grand vide dedans et j'ai remarqué que plusieurs programme dont explorer.exe avait plusieurs valeurs lors du démarrage, j'ai modifié tous ça, et depuis mon ordi démare en 20seconde, et ce probleme a disparus.
Voulez vous quand meme que je refasse une analyse pour que vous soyez sure ?
Je tiens a vous remercier, vraiment, pour votre aide Smart.
Voulez vous quand meme que je refasse une analyse pour que vous soyez sure ?
Je tiens a vous remercier, vraiment, pour votre aide Smart.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 22/12/2010 à 10:50
Modifié par Smart91 le 22/12/2010 à 10:50
1. Je peux te dire que supprimer avec MBAM n'a pas été fait sinon je n'aurais pas eu ceci et plusieurs fois dans le rapport: ==> No action taken.
2 . " J'ai aussi été dans Démarer/éxécuer et puis regedit, j'ai fait un grand vide dedans et j'ai remarqué que plusieurs programme dont explorer.exe avait plusieurs valeurs lors du démarrage, j'ai modifié tous ça,"
Hé bien dis-donc tu as pris des risques d'aller modifier les clés de registre comme cela, ton PC aurait pu ne plus avoir de bureau et peut-être ne plus démarrer. J'espère que tu sais ce que tu as fait et dans ce cas tu n'as pas besoin de moi.
Tant mieux pour toi
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
2 . " J'ai aussi été dans Démarer/éxécuer et puis regedit, j'ai fait un grand vide dedans et j'ai remarqué que plusieurs programme dont explorer.exe avait plusieurs valeurs lors du démarrage, j'ai modifié tous ça,"
Hé bien dis-donc tu as pris des risques d'aller modifier les clés de registre comme cela, ton PC aurait pu ne plus avoir de bureau et peut-être ne plus démarrer. J'espère que tu sais ce que tu as fait et dans ce cas tu n'as pas besoin de moi.
Tant mieux pour toi
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
1. Arf, ouai, exact, j'vais refaire une analyse alors.
2. De la famille est venue a l'improviste hier, coup de chance, un informaticien. Donc j'ai su quoi et quoi supprimé.
Ceci dit je ne sais pas vraiment si mon probleme est totalement résolu. Je vais donc faire une autre analyse et vous la poster.
Max
2. De la famille est venue a l'improviste hier, coup de chance, un informaticien. Donc j'ai su quoi et quoi supprimé.
Ceci dit je ne sais pas vraiment si mon probleme est totalement résolu. Je vais donc faire une autre analyse et vous la poster.
Max
21 déc. 2010 à 10:55
D'où peut venir ce virus ? Car je n'ai aucun programme ou software ou encore film et musique piraté sur mon ordi. Peux etre l'ais-je pris en surfant sur internet.