Pc infecté par tr/rootkitgen
Résolu
buzz
-
supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention -
supergeronimo44 Messages postés 862 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je fais appel à vous car mon pc rencontre pas mal de soucis.
L'active desktop est désactivé, le pc rame, des périphériques cessent de fonctionner, la carte son se désinstalle, il apparait des messages d'alertes que je ne connais pas, j'ai même du mal à éteindre le pc en passant par démarrer et Antivir détecte Tr/rootkit.gen à chaque fois que je scan.
Pouvez-vous m'aider SVP
Je fais appel à vous car mon pc rencontre pas mal de soucis.
L'active desktop est désactivé, le pc rame, des périphériques cessent de fonctionner, la carte son se désinstalle, il apparait des messages d'alertes que je ne connais pas, j'ai même du mal à éteindre le pc en passant par démarrer et Antivir détecte Tr/rootkit.gen à chaque fois que je scan.
Pouvez-vous m'aider SVP
A voir également:
- Pc infecté par tr/rootkitgen
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
38 réponses
Salut. J'vois pas de C:\ComboFix2.txt , seulement http://security-domain.be/Uploader/dld.php?i=14fb8e20-99c4-4cf0-a1d3-9685ff65b7dc
1
Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-02-01-2011-12-17-05.txt
Run by man at 02/01/2011 12:17:25
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
========== Récapitulatif ==========
1 : Valeur(s) du Registre
End of the scan
2/
http://security-domain.be/Uploader/dld.php?i=6fe5ef33-6377-4b44-a012-160fc8c698ab
3/
http://security-domain.be/Uploader/dld.php?i=b2e94b9d-f9a1-4ef5-819c-def9a1e303f3
.
1
Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-02-01-2011-12-17-05.txt
Run by man at 02/01/2011 12:17:25
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
========== Récapitulatif ==========
1 : Valeur(s) du Registre
End of the scan
2/
http://security-domain.be/Uploader/dld.php?i=6fe5ef33-6377-4b44-a012-160fc8c698ab
3/
http://security-domain.be/Uploader/dld.php?i=b2e94b9d-f9a1-4ef5-819c-def9a1e303f3
.
Re- !
Ok... ils n'ont rien détecté :S
On va donc passer au script /!\A faire dans l'ordre /!\ :
1/
? Telecharge::
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dézippe le , Lance le , exécuter en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]
[img]http://imagesup.org/image[/img]
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic sur execute:
* Après le re-démarrage, il crée un fichier log qui s'ouvrira faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt (=> Héberge-le et envoies moi le lien créé )
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip protégé par mot de passe ici : C:\avenger\backup.zip
Héberge moi ce dossier compressé grâce à ce tutoriel : https://www.androidworld.fr/
~~~~~~~~
2/*
Peux-tu faire une analyse sur Virus Total afin de mettre en évidence ou non un fichier infectieux ?
Pour ce faire, rends-toi à cette adresse : http://www.virustotal.com/index.html
Clique sur "Parcourir" > déroule l'arborescence jusqu'à ce fichier :
Clique ensuite sur "Ouvrir" puis sur "Send File" . Patiente un peu le temps du scan.
Lorsque l'analyse est finie, fais un copié/collé du rapport que tu posteras dans ta prochaine réponse.
Et recommence le 2/* avec ce fichier également :
~~~~~~~~
3/*
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
----------------------------------------------------------
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
~~~~~~~~
Pour le rapport de Combofix, tant pis, je ferais sans, mais ça m'aurait bien servi^^)
J'attends donc les rapports de :
=> The Avenger
=> Virus Total ( deux rapports)
=> ZHPFix
++
*\\ "L'important n'est pas le but, mais le chemin qui y mène" //*
=>Vive Helper-Formation !<=
Ok... ils n'ont rien détecté :S
On va donc passer au script /!\A faire dans l'ordre /!\ :
1/
? Telecharge::
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dézippe le , Lance le , exécuter en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]
[img]http://imagesup.org/image[/img]
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic sur execute:
begin copying here: Drivers to delete: bmuoqd.sys Registry keys to delete: HKCU\Software\H3O8CABBPI HKCU\Software\JP595IR86O HKCU\Software\NtWqIVLZEWZU
* Après le re-démarrage, il crée un fichier log qui s'ouvrira faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt (=> Héberge-le et envoies moi le lien créé )
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip protégé par mot de passe ici : C:\avenger\backup.zip
Héberge moi ce dossier compressé grâce à ce tutoriel : https://www.androidworld.fr/
~~~~~~~~
2/*
Peux-tu faire une analyse sur Virus Total afin de mettre en évidence ou non un fichier infectieux ?
Pour ce faire, rends-toi à cette adresse : http://www.virustotal.com/index.html
Clique sur "Parcourir" > déroule l'arborescence jusqu'à ce fichier :
C:\WINDOWS\system32\winsys2.exe
Clique ensuite sur "Ouvrir" puis sur "Send File" . Patiente un peu le temps du scan.
Lorsque l'analyse est finie, fais un copié/collé du rapport que tu posteras dans ta prochaine réponse.
Et recommence le 2/* avec ce fichier également :
C:\WINDOWS\System32\drivers\lvuvc.hs
~~~~~~~~
3/*
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054525.exe:userini.exe
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054641.exe:userini.exe
064 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
----------------------------------------------------------
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
~~~~~~~~
Pour le rapport de Combofix, tant pis, je ferais sans, mais ça m'aurait bien servi^^)
J'attends donc les rapports de :
=> The Avenger
=> Virus Total ( deux rapports)
=> ZHPFix
++
*\\ "L'important n'est pas le but, mais le chemin qui y mène" //*
=>Vive Helper-Formation !<=
1
http://security-domain.be/Uploader/dld.php?i=b2b0b2a0-11e1-440a-8c4e-82a575624940
http://security-domain.be/Uploader/dld.php?i=178957be-bfdf-4842-8de9-896365248f82
2 je sais pas trop ce qu'il faut que je te copie colle ..
Antivirus Version Last update Result
AhnLab-V3 2011.01.02.00 2011.01.01 -
AntiVir 7.11.0.250 2011.01.02 -
Antiy-AVL 2.0.3.7 2011.01.02 -
Avast 4.8.1351.0 2011.01.02 -
Avast5 5.0.677.0 2011.01.02 -
AVG 9.0.0.851 2011.01.02 -
BitDefender 7.2 2011.01.02 -
CAT-QuickHeal 11.00 2011.01.02 -
ClamAV 0.96.4.0 2011.01.01 -
Command 5.2.11.5 2011.01.01 -
Comodo 7275 2011.01.02 -
DrWeb 5.0.2.03300 2011.01.02 -
Emsisoft 5.1.0.1 2011.01.02 -
eSafe 7.0.17.0 2011.01.02 -
eTrust-Vet 36.1.8074 2010.12.31 -
F-Prot 4.6.2.117 2011.01.01 -
F-Secure 9.0.16160.0 2011.01.02 -
Fortinet 4.2.254.0 2011.01.02 -
GData 21 2011.01.02 -
Ikarus T3.1.1.90.0 2011.01.02 -
Jiangmin 13.0.900 2011.01.02 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2011.01.02 -
McAfee 5.400.0.1158 2011.01.02 -
McAfee-GW-Edition 2010.1C 2011.01.02 -
Microsoft 1.6402 2011.01.02 -
NOD32 5753 2011.01.02 -
Norman 6.06.12 2011.01.02 W32/Agent.MSVV
nProtect 2011-01-02.01 2011.01.02 -
Panda 10.0.2.7 2011.01.02 -
PCTools 7.0.3.5 2011.01.02 -
Prevx 3.0 2011.01.02 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2011.01.02 -
SUPERAntiSpyware 4.40.0.1006 2011.01.02 -
Symantec 20101.3.0.103 2011.01.02 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2011.01.02 -
TrendMicro-HouseCall 9.120.0.1004 2011.01.02 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7924 2011.01.02 -
ViRobot 2010.12.31.4232 2011.01.02 -
VirusBuster 13.6.123.1 2011.01.02 -
MD5: 431a18c5e9f8827193afcb74e3880888
SHA1: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007
SHA256: 7a7366b9b0f64c93537de2de560f342df61aa537d46905768f1e79d98881e4e3
File size: 217088 bytes
Scan date: 2011-01-02 17:40:33 (UTC)
et pour C:\WINDOWS\System32\drivers\lvuvc.hs
Warning: VirusTotal is currently experiencing high workload. The scanning process of your file can take over 15 minutes. We suggest you use the email interface in these situations. Follow the instructions on the "Advanced" page to do so. If you wish you can still submit your sample via this interface.
3 tout en faisant ça sur zhp antivir a détecté 2 virus
Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-02-01-2011-20-32-49.txt
Run by man at 02/01/2011 20:32:49
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Fichier(s) ==========
c:\system volume information\_restore{fa3ae7ca-390b-4614-a92e-4cd582bc1654}\rp309\a0054525.exe:userini.exe => Fichier absent
c:\system volume information\_restore{fa3ae7ca-390b-4614-a92e-4cd582bc1654}\rp309\a0054641.exe:userini.exe => Fichier absent
========== Autre ==========
064 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV => Format Non supporté
========== Récapitulatif ==========
2 : Valeur(s) du Registre
2 : Fichier(s)
1 : Autre
End of the scan
http://security-domain.be/Uploader/dld.php?i=b2b0b2a0-11e1-440a-8c4e-82a575624940
http://security-domain.be/Uploader/dld.php?i=178957be-bfdf-4842-8de9-896365248f82
2 je sais pas trop ce qu'il faut que je te copie colle ..
Antivirus Version Last update Result
AhnLab-V3 2011.01.02.00 2011.01.01 -
AntiVir 7.11.0.250 2011.01.02 -
Antiy-AVL 2.0.3.7 2011.01.02 -
Avast 4.8.1351.0 2011.01.02 -
Avast5 5.0.677.0 2011.01.02 -
AVG 9.0.0.851 2011.01.02 -
BitDefender 7.2 2011.01.02 -
CAT-QuickHeal 11.00 2011.01.02 -
ClamAV 0.96.4.0 2011.01.01 -
Command 5.2.11.5 2011.01.01 -
Comodo 7275 2011.01.02 -
DrWeb 5.0.2.03300 2011.01.02 -
Emsisoft 5.1.0.1 2011.01.02 -
eSafe 7.0.17.0 2011.01.02 -
eTrust-Vet 36.1.8074 2010.12.31 -
F-Prot 4.6.2.117 2011.01.01 -
F-Secure 9.0.16160.0 2011.01.02 -
Fortinet 4.2.254.0 2011.01.02 -
GData 21 2011.01.02 -
Ikarus T3.1.1.90.0 2011.01.02 -
Jiangmin 13.0.900 2011.01.02 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2011.01.02 -
McAfee 5.400.0.1158 2011.01.02 -
McAfee-GW-Edition 2010.1C 2011.01.02 -
Microsoft 1.6402 2011.01.02 -
NOD32 5753 2011.01.02 -
Norman 6.06.12 2011.01.02 W32/Agent.MSVV
nProtect 2011-01-02.01 2011.01.02 -
Panda 10.0.2.7 2011.01.02 -
PCTools 7.0.3.5 2011.01.02 -
Prevx 3.0 2011.01.02 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2011.01.02 -
SUPERAntiSpyware 4.40.0.1006 2011.01.02 -
Symantec 20101.3.0.103 2011.01.02 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2011.01.02 -
TrendMicro-HouseCall 9.120.0.1004 2011.01.02 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7924 2011.01.02 -
ViRobot 2010.12.31.4232 2011.01.02 -
VirusBuster 13.6.123.1 2011.01.02 -
MD5: 431a18c5e9f8827193afcb74e3880888
SHA1: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007
SHA256: 7a7366b9b0f64c93537de2de560f342df61aa537d46905768f1e79d98881e4e3
File size: 217088 bytes
Scan date: 2011-01-02 17:40:33 (UTC)
et pour C:\WINDOWS\System32\drivers\lvuvc.hs
Warning: VirusTotal is currently experiencing high workload. The scanning process of your file can take over 15 minutes. We suggest you use the email interface in these situations. Follow the instructions on the "Advanced" page to do so. If you wish you can still submit your sample via this interface.
3 tout en faisant ça sur zhp antivir a détecté 2 virus
Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-02-01-2011-20-32-49.txt
Run by man at 02/01/2011 20:32:49
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Fichier(s) ==========
c:\system volume information\_restore{fa3ae7ca-390b-4614-a92e-4cd582bc1654}\rp309\a0054525.exe:userini.exe => Fichier absent
c:\system volume information\_restore{fa3ae7ca-390b-4614-a92e-4cd582bc1654}\rp309\a0054641.exe:userini.exe => Fichier absent
========== Autre ==========
064 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV => Format Non supporté
========== Récapitulatif ==========
2 : Valeur(s) du Registre
2 : Fichier(s)
1 : Autre
End of the scan
Le rapport du dernier scan d'antivir :(
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MANON
Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 29/11/2009 17:58:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:58:09
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 21:01:56
VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 21:01:56
VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 21:01:56
VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 21:01:56
VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 21:01:56
VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 21:01:56
VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 21:01:56
VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 21:01:56
VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 21:01:56
VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 21:01:56
VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 21:01:56
VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 21:01:57
VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 21:01:57
VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 21:01:57
VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 21:01:57
VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 21:01:57
VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 21:01:57
VBASE018.VDF : 7.11.0.228 132608 Bytes 30/12/2010 21:01:57
VBASE019.VDF : 7.11.0.229 2048 Bytes 30/12/2010 21:01:57
VBASE020.VDF : 7.11.0.230 2048 Bytes 30/12/2010 21:01:57
VBASE021.VDF : 7.11.0.231 2048 Bytes 30/12/2010 21:01:57
VBASE022.VDF : 7.11.0.232 2048 Bytes 30/12/2010 21:01:57
VBASE023.VDF : 7.11.0.233 2048 Bytes 30/12/2010 21:01:57
VBASE024.VDF : 7.11.0.234 2048 Bytes 30/12/2010 21:01:57
VBASE025.VDF : 7.11.0.235 2048 Bytes 30/12/2010 21:01:57
VBASE026.VDF : 7.11.0.236 2048 Bytes 30/12/2010 21:01:57
VBASE027.VDF : 7.11.0.237 2048 Bytes 30/12/2010 21:01:57
VBASE028.VDF : 7.11.0.238 2048 Bytes 30/12/2010 21:01:57
VBASE029.VDF : 7.11.0.239 2048 Bytes 30/12/2010 21:01:57
VBASE030.VDF : 7.11.0.240 2048 Bytes 30/12/2010 21:01:57
VBASE031.VDF : 7.11.0.248 47104 Bytes 31/12/2010 21:01:57
Version du moteur : 8.2.4.134
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/01/2011 21:01:57
AESCRIPT.DLL : 8.1.3.51 1286524 Bytes 01/01/2011 21:01:57
AESCN.DLL : 8.1.7.2 127349 Bytes 01/01/2011 21:01:57
AESBX.DLL : 8.1.3.2 254324 Bytes 01/01/2011 21:01:57
AERDL.DLL : 8.1.9.2 635252 Bytes 01/01/2011 21:01:57
AEPACK.DLL : 8.2.4.7 512375 Bytes 01/01/2011 21:01:57
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 01/01/2011 21:01:57
AEHEUR.DLL : 8.1.2.60 3158392 Bytes 01/01/2011 21:01:57
AEHELP.DLL : 8.1.16.0 246136 Bytes 01/01/2011 21:01:57
AEGEN.DLL : 8.1.5.0 397685 Bytes 01/01/2011 21:01:57
AEEMU.DLL : 8.1.3.0 393589 Bytes 01/01/2011 21:01:57
AECORE.DLL : 8.1.19.0 196984 Bytes 01/01/2011 21:01:57
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 17:18:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 29/11/2009 17:58:10
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 19:39:31
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 29/11/2009 17:58:09
RCTEXT.DLL : 9.0.73.0 88321 Bytes 29/11/2009 17:58:09
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, I:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,
Début de la recherche : dimanche 2 janvier 2011 23:36
La recherche d'objets cachés commence.
'41591' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winamp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqgpc01.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqbam08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AdobeARM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinSys2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'46' processus ont été contrôlés avec '46' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '58' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\LocalService\Application Data\ntuser.dat
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.29996C
C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\xssend2\svcnost.exe.vir
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
C:\Qoobox\Quarantine\C\Documents and Settings\man\binternet.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.3876
C:\Qoobox\Quarantine\C\WINDOWS\Hxuxua.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.O.344
C:\Qoobox\Quarantine\C\WINDOWS\system32\sshnas21.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
C:\Qoobox\Quarantine\C\WINDOWS\system32\userini.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
C:\Qoobox\Quarantine\C\WINDOWS\system32\config\svchost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\bmuoqd.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_bmuoqd_.sys.zip
[0] Type d'archive: ZIP
--> bmuoqd.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054585.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055658.exe
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055659.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055660.dll
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055661.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055668.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
Recherche débutant dans 'D:\' <utils>
D:\Utils ju\install_www--1421-eMule.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A
Recherche débutant dans 'E:\' <Jeux>
E:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP311\A0056735.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.260712
Recherche débutant dans 'F:\' <Films>
Recherche débutant dans 'G:\' <Ziks>
Recherche débutant dans 'I:\' <Films disq ext>
Début de la désinfection :
C:\Documents and Settings\LocalService\Application Data\ntuser.dat
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.29996C
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9607f7.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\xssend2\svcnost.exe.vir
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8407f9.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\man\binternet.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.3876
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8f07ec.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\Hxuxua.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.O.344
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9607fb.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\sshnas21.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8907f6.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\userini.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8607f6.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\config\svchost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ca16ee2.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\bmuoqd.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9607f0.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_bmuoqd_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8e07e5.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054585.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d5107b3.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055658.exe
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4f3514.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055659.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c735674.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055660.dll
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49504c24.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055661.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4943dad4.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055668.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d5107b4.qua' !
D:\Utils ju\install_www--1421-eMule.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9407f2.qua' !
E:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP311\A0056735.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.260712
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ede3cf5.qua' !
Fin de la recherche : lundi 3 janvier 2011 00:17
Temps nécessaire: 36:17 Minute(s)
La recherche a été effectuée intégralement
7075 Les répertoires ont été contrôlés
333549 Des fichiers ont été contrôlés
17 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
17 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
333531 Fichiers non infectés
2967 Les archives ont été contrôlées
1 Avertissements
18 Consignes
41591 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MANON
Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 29/11/2009 17:58:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:58:09
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 21:01:56
VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 21:01:56
VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 21:01:56
VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 21:01:56
VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 21:01:56
VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 21:01:56
VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 21:01:56
VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 21:01:56
VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 21:01:56
VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 21:01:56
VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 21:01:56
VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 21:01:57
VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 21:01:57
VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 21:01:57
VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 21:01:57
VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 21:01:57
VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 21:01:57
VBASE018.VDF : 7.11.0.228 132608 Bytes 30/12/2010 21:01:57
VBASE019.VDF : 7.11.0.229 2048 Bytes 30/12/2010 21:01:57
VBASE020.VDF : 7.11.0.230 2048 Bytes 30/12/2010 21:01:57
VBASE021.VDF : 7.11.0.231 2048 Bytes 30/12/2010 21:01:57
VBASE022.VDF : 7.11.0.232 2048 Bytes 30/12/2010 21:01:57
VBASE023.VDF : 7.11.0.233 2048 Bytes 30/12/2010 21:01:57
VBASE024.VDF : 7.11.0.234 2048 Bytes 30/12/2010 21:01:57
VBASE025.VDF : 7.11.0.235 2048 Bytes 30/12/2010 21:01:57
VBASE026.VDF : 7.11.0.236 2048 Bytes 30/12/2010 21:01:57
VBASE027.VDF : 7.11.0.237 2048 Bytes 30/12/2010 21:01:57
VBASE028.VDF : 7.11.0.238 2048 Bytes 30/12/2010 21:01:57
VBASE029.VDF : 7.11.0.239 2048 Bytes 30/12/2010 21:01:57
VBASE030.VDF : 7.11.0.240 2048 Bytes 30/12/2010 21:01:57
VBASE031.VDF : 7.11.0.248 47104 Bytes 31/12/2010 21:01:57
Version du moteur : 8.2.4.134
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/01/2011 21:01:57
AESCRIPT.DLL : 8.1.3.51 1286524 Bytes 01/01/2011 21:01:57
AESCN.DLL : 8.1.7.2 127349 Bytes 01/01/2011 21:01:57
AESBX.DLL : 8.1.3.2 254324 Bytes 01/01/2011 21:01:57
AERDL.DLL : 8.1.9.2 635252 Bytes 01/01/2011 21:01:57
AEPACK.DLL : 8.2.4.7 512375 Bytes 01/01/2011 21:01:57
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 01/01/2011 21:01:57
AEHEUR.DLL : 8.1.2.60 3158392 Bytes 01/01/2011 21:01:57
AEHELP.DLL : 8.1.16.0 246136 Bytes 01/01/2011 21:01:57
AEGEN.DLL : 8.1.5.0 397685 Bytes 01/01/2011 21:01:57
AEEMU.DLL : 8.1.3.0 393589 Bytes 01/01/2011 21:01:57
AECORE.DLL : 8.1.19.0 196984 Bytes 01/01/2011 21:01:57
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 17:18:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 29/11/2009 17:58:10
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 19:39:31
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 29/11/2009 17:58:09
RCTEXT.DLL : 9.0.73.0 88321 Bytes 29/11/2009 17:58:09
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, I:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,
Début de la recherche : dimanche 2 janvier 2011 23:36
La recherche d'objets cachés commence.
'41591' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winamp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqgpc01.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqbam08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AdobeARM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinSys2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'46' processus ont été contrôlés avec '46' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '58' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\LocalService\Application Data\ntuser.dat
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.29996C
C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\xssend2\svcnost.exe.vir
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
C:\Qoobox\Quarantine\C\Documents and Settings\man\binternet.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.3876
C:\Qoobox\Quarantine\C\WINDOWS\Hxuxua.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.O.344
C:\Qoobox\Quarantine\C\WINDOWS\system32\sshnas21.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
C:\Qoobox\Quarantine\C\WINDOWS\system32\userini.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
C:\Qoobox\Quarantine\C\WINDOWS\system32\config\svchost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\bmuoqd.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_bmuoqd_.sys.zip
[0] Type d'archive: ZIP
--> bmuoqd.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054585.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055658.exe
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055659.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055660.dll
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055661.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055668.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
Recherche débutant dans 'D:\' <utils>
D:\Utils ju\install_www--1421-eMule.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A
Recherche débutant dans 'E:\' <Jeux>
E:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP311\A0056735.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.260712
Recherche débutant dans 'F:\' <Films>
Recherche débutant dans 'G:\' <Ziks>
Recherche débutant dans 'I:\' <Films disq ext>
Début de la désinfection :
C:\Documents and Settings\LocalService\Application Data\ntuser.dat
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.29996C
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9607f7.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\xssend2\svcnost.exe.vir
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8407f9.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\man\binternet.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.3876
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8f07ec.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\Hxuxua.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.O.344
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9607fb.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\sshnas21.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8907f6.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\userini.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8607f6.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\config\svchost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ca16ee2.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\bmuoqd.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9607f0.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_bmuoqd_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8e07e5.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054585.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d5107b3.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055658.exe
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Spammy.MA
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4f3514.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055659.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.74924KH
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c735674.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055660.dll
[RESULTAT] Contient le cheval de Troie TR/Shakat.psb
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49504c24.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055661.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.6885
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4943dad4.qua' !
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055668.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d5107b4.qua' !
D:\Utils ju\install_www--1421-eMule.exe
[RESULTAT] Contient le cheval de Troie TR/BegSMS.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d9407f2.qua' !
E:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP311\A0056735.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.260712
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ede3cf5.qua' !
Fin de la recherche : lundi 3 janvier 2011 00:17
Temps nécessaire: 36:17 Minute(s)
La recherche a été effectuée intégralement
7075 Les répertoires ont été contrôlés
333549 Des fichiers ont été contrôlés
17 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
17 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
333531 Fichiers non infectés
2967 Les archives ont été contrôlées
1 Avertissements
18 Consignes
41591 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut !
Ok, Antivir s'affole et c'est bien normal : il détecte des virus dans la quarantaine de Combofix en majorité, donc rien d'affolant.
Pour C:\WINDOWS\System32\drivers\lvuvc.hs
Réessaye avec VirusTotal, le service devrait être moins chargé maintenant.
Peux-tu me refaire un ZHPDiag stp ? ( cf mon 1er post)
++
Ok, Antivir s'affole et c'est bien normal : il détecte des virus dans la quarantaine de Combofix en majorité, donc rien d'affolant.
Pour C:\WINDOWS\System32\drivers\lvuvc.hs
Réessaye avec VirusTotal, le service devrait être moins chargé maintenant.
Peux-tu me refaire un ZHPDiag stp ? ( cf mon 1er post)
++
Pour C:\WINDOWS\System32\drivers\lvuvc.hs ça ne fonctionne pas, ça charge puis ça revient à la page de départ
http://security-domain.be/Uploader/dld.php?i=3ba19356-215d-42ac-a335-247f0ca01942
http://security-domain.be/Uploader/dld.php?i=3ba19356-215d-42ac-a335-247f0ca01942
Salut !
Ok.
Je regarderais le rapport demain soir, j'essaierais de t'envoyer les prochaines manips mardi soir ou mercredi matin si possible ( c'est une semaine très chargée..désolé... )
En attendant, ne te sers du PC qu'au minimum et ne rentre pas tes mots de passe ;-)
++
EDIT :
En attendant, tu peux passer Ad-Remover :
Tu es infecté par des spywares ( eorezo) . Ils s'installent via un programme gratuit ( je t'en dirais plus demain soir dessus). Ils ont pour but de récupérer des informations personnelles....
Pour s'en débarrasser :
* Télécharge http://www.teamxscript.org/adremoverTelechargement.html (de C_XX) sur ton Bureau.
:!: Déconnecte toi et ferme toutes les applications en cours :!:
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
à lire sérieusement jusqu'au bout ( et n'hésite pas à me poser des questions si tout ne te paraît pas très clair ) =>
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
++
*\\ "L'important n'est pas le but, mais le chemin qui y mène" //*
=>Vive Helper-Formation !<=
Ok.
Je regarderais le rapport demain soir, j'essaierais de t'envoyer les prochaines manips mardi soir ou mercredi matin si possible ( c'est une semaine très chargée..désolé... )
En attendant, ne te sers du PC qu'au minimum et ne rentre pas tes mots de passe ;-)
++
EDIT :
En attendant, tu peux passer Ad-Remover :
Tu es infecté par des spywares ( eorezo) . Ils s'installent via un programme gratuit ( je t'en dirais plus demain soir dessus). Ils ont pour but de récupérer des informations personnelles....
Pour s'en débarrasser :
* Télécharge http://www.teamxscript.org/adremoverTelechargement.html (de C_XX) sur ton Bureau.
:!: Déconnecte toi et ferme toutes les applications en cours :!:
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
à lire sérieusement jusqu'au bout ( et n'hésite pas à me poser des questions si tout ne te paraît pas très clair ) =>
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
++
*\\ "L'important n'est pas le but, mais le chemin qui y mène" //*
=>Vive Helper-Formation !<=
Salut.
J'ai vu le lien que tu m'a donné. J'avoue que je comprends pas trop pourquoi tu m'a demandé de le lire. J'suis pas vraiment du genre à installer et cliquer sur tout et n'importe quoi... (et eorezo je ne connais pas)
Voila le rapport
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 03/01/11 à 14:20
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:22:33 le 03/01/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
man@MANON ( )
============== ACTION(S) ==============
Fichier supprimé: C:\Documents and Settings\man\Application Data\Mozilla\FireFox\Profiles\1voi56gr.default\searchplugins\cherche.xml
Dossier supprimé: C:\Documents and Settings\man\Application Data\Soft2PC
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\man\Application Data\Mozilla\FireFox\Profiles\1voi56gr.default\Prefs.js --
Ligne supprimée:
Ligne supprimée:
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpj...
-- Fichier Fermé --
Clé supprimée: HKLM\Software\soft2PC
Clé supprimée: HKCU\Software\soft2PC
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.5.16 (fr)] **
-- C:\Documents and Settings\man\Application Data\Mozilla\FireFox\Profiles\1voi56gr.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\man\\Bureau\\dl
browser.download.lastDir, C:\\Documents and Settings\\man\\Bureau
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.1.16
========================================
** Internet Explorer Version [6.0.2900.2180] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 03/01/2011 (994 Octet(s))
Fin à: 21:23:15, 03/01/2011
============== E.O.F ==============
Y a un truc qui me chagrine ><... j'avais plus internet explorer, et quand j'ai utilisé combofix, l'icône est apparut sur mon bureau. Et là quand je clique droit pour le supprimer, le bureau ne fonctionne plus, je ne peux plus cliquer sur aucun icône...
+++
J'ai vu le lien que tu m'a donné. J'avoue que je comprends pas trop pourquoi tu m'a demandé de le lire. J'suis pas vraiment du genre à installer et cliquer sur tout et n'importe quoi... (et eorezo je ne connais pas)
Voila le rapport
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 03/01/11 à 14:20
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:22:33 le 03/01/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
man@MANON ( )
============== ACTION(S) ==============
Fichier supprimé: C:\Documents and Settings\man\Application Data\Mozilla\FireFox\Profiles\1voi56gr.default\searchplugins\cherche.xml
Dossier supprimé: C:\Documents and Settings\man\Application Data\Soft2PC
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\man\Application Data\Mozilla\FireFox\Profiles\1voi56gr.default\Prefs.js --
Ligne supprimée:
Ligne supprimée:
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpj...
-- Fichier Fermé --
Clé supprimée: HKLM\Software\soft2PC
Clé supprimée: HKCU\Software\soft2PC
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.5.16 (fr)] **
-- C:\Documents and Settings\man\Application Data\Mozilla\FireFox\Profiles\1voi56gr.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\man\\Bureau\\dl
browser.download.lastDir, C:\\Documents and Settings\\man\\Bureau
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.1.16
========================================
** Internet Explorer Version [6.0.2900.2180] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 03/01/2011 (994 Octet(s))
Fin à: 21:23:15, 03/01/2011
============== E.O.F ==============
Y a un truc qui me chagrine ><... j'avais plus internet explorer, et quand j'ai utilisé combofix, l'icône est apparut sur mon bureau. Et là quand je clique droit pour le supprimer, le bureau ne fonctionne plus, je ne peux plus cliquer sur aucun icône...
+++
Salut !
Je passe en coup de vent....
Je te répondrais à tes questions demain matin...
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
[HKCU\Software\H3O8CABBPI]
[HKCU\Software\NtWqIVLZEWZU]
----------------------------------------------------------
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
~~~~~~~~
Ensuite,
Télécharge http://security-domain.be/tutoriel%20malwarebytes.html <=Malwarebytes
Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
Lance une analyse complète en cliquant sur "Exécuter un examen complet"
Sélectionne les disques que tu veux analyser (coche toutes les cases) et clique sur "Lancer l'examen"
L'analyse peut durer un bon moment.....
Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
J'attends donc les deux rapports : Zhpfix + MBAM ;)
Bonne soirée, et désolé si je passe en vitesse ;-)
Je passe en coup de vent....
Je te répondrais à tes questions demain matin...
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
[HKCU\Software\H3O8CABBPI]
[HKCU\Software\NtWqIVLZEWZU]
----------------------------------------------------------
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
~~~~~~~~
Ensuite,
Télécharge http://security-domain.be/tutoriel%20malwarebytes.html <=Malwarebytes
Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
Lance une analyse complète en cliquant sur "Exécuter un examen complet"
Sélectionne les disques que tu veux analyser (coche toutes les cases) et clique sur "Lancer l'examen"
L'analyse peut durer un bon moment.....
Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
J'attends donc les deux rapports : Zhpfix + MBAM ;)
Bonne soirée, et désolé si je passe en vitesse ;-)
Je comprends bien que tu ai d'autres choses à faire ^^
Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-04-01-2011-18-32-54.txt
Run by man at 04/01/2011 18:32:54
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKCU\Software\H3O8CABBPI => Clé supprimée avec succès
HKCU\Software\NtWqIVLZEWZU => Clé supprimée avec succès
========== Récapitulatif ==========
2 : Clé(s) du Registre
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 225592
Temps écoulé: 42 minute(s), 35 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2\csrss.exe.vir (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\yuoldllnlrrkyls.exe.vir (Adware.AdRotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055662.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-04-01-2011-18-32-54.txt
Run by man at 04/01/2011 18:32:54
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKCU\Software\H3O8CABBPI => Clé supprimée avec succès
HKCU\Software\NtWqIVLZEWZU => Clé supprimée avec succès
========== Récapitulatif ==========
2 : Clé(s) du Registre
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 225592
Temps écoulé: 42 minute(s), 35 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2\csrss.exe.vir (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\yuoldllnlrrkyls.exe.vir (Adware.AdRotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055662.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
Salut !
En fait, eorezo est un site qui propose des widgets pour le bureau ( horloge, météo, etc..) gratuits, mais qui, dès leur installation, affichent des fenêtres de pubs envahissantes et redirigent la page d'accueil internet ainsi que les recherches google.
Cependant, sur ton PC, il restait quelques éléments d'eorezo ( qui ont du être virés avec le 1er Combofix).
Je te donne un peu de lecture envers eorezo : https://forum.malekal.com/viewtopic.php?t=18245&start=
~~~~~~~~
Hum.... tu avais désinstallé Internet Explorer ?
=> Vas voir dans C:\ProgramFiles\Internet Explorer et regarde si le dossier contient un fichier "iexplore.exe".
Si oui, dis-le moi et n'y touche pas, de même pour l'icône sur ton bureau, on va voir ça à la fin.
~~~~~~~~
Tu as également été infecté par le rogue AntiSpywareSoft. Un rogue est un faux programme de sécurité qui te trouve des centaines d'infections....bidons et te propose d'acheter la version payante du logiciel pour les éradiquer, mais vu que ce sont des infections bidons, il n'éradiquera rien du tout (et tu auras perdu ton argent).
C'est lui qui t'empêchait d'héberger les rapports au début de la désinfection entre autre.
Un peu de lecture => https://forum.malekal.com/viewtopic.php?t=26027&start=
~~~~~~~~
Sinon, ça m'a l'air à peu près propre maintenant, j'aimerais donc un tout dernier ZHPDiag stp ( promis, c'est le dernier :P ).
Merci à toi ;)
++
En fait, eorezo est un site qui propose des widgets pour le bureau ( horloge, météo, etc..) gratuits, mais qui, dès leur installation, affichent des fenêtres de pubs envahissantes et redirigent la page d'accueil internet ainsi que les recherches google.
Cependant, sur ton PC, il restait quelques éléments d'eorezo ( qui ont du être virés avec le 1er Combofix).
Je te donne un peu de lecture envers eorezo : https://forum.malekal.com/viewtopic.php?t=18245&start=
~~~~~~~~
j'avais plus internet explorer, et quand j'ai utilisé combofix, l'icône est apparut sur mon bureau. Et là quand je clique droit pour le supprimer, le bureau ne fonctionne plus, je ne peux plus cliquer sur aucun icône...
Hum.... tu avais désinstallé Internet Explorer ?
=> Vas voir dans C:\ProgramFiles\Internet Explorer et regarde si le dossier contient un fichier "iexplore.exe".
Si oui, dis-le moi et n'y touche pas, de même pour l'icône sur ton bureau, on va voir ça à la fin.
~~~~~~~~
Tu as également été infecté par le rogue AntiSpywareSoft. Un rogue est un faux programme de sécurité qui te trouve des centaines d'infections....bidons et te propose d'acheter la version payante du logiciel pour les éradiquer, mais vu que ce sont des infections bidons, il n'éradiquera rien du tout (et tu auras perdu ton argent).
C'est lui qui t'empêchait d'héberger les rapports au début de la désinfection entre autre.
Un peu de lecture => https://forum.malekal.com/viewtopic.php?t=26027&start=
~~~~~~~~
Sinon, ça m'a l'air à peu près propre maintenant, j'aimerais donc un tout dernier ZHPDiag stp ( promis, c'est le dernier :P ).
Merci à toi ;)
++
Salut mon sauveur! ;)
J'ai bien iexplore.exe et toujours cet icône foireux sur mon bureau.
J'suis assez étonnée d'avoir été infectée par ce genre de truc. J'suis pas complétement ignorante en informatique et pas du genre à vouloir installer la météo sur mon pc lol.
Merci de m'avoir aidée à faire le ménage =)
Je peux supprimer OTL, ZHP, Combofix etc ?
Tu aurai des logiciels à me conseiller pour mieux me protéger et faire le ménage de temps en temps ? (je n'ai que Antivir et Ccleaner)
Est ce qu'il faut que je change des configurations ?
http://security-domain.be/Uploader/dld.php?i=768e9300-ccb6-4d1e-9270-e55b3ab6ee09
++
J'ai bien iexplore.exe et toujours cet icône foireux sur mon bureau.
J'suis assez étonnée d'avoir été infectée par ce genre de truc. J'suis pas complétement ignorante en informatique et pas du genre à vouloir installer la météo sur mon pc lol.
Merci de m'avoir aidée à faire le ménage =)
Je peux supprimer OTL, ZHP, Combofix etc ?
Tu aurai des logiciels à me conseiller pour mieux me protéger et faire le ménage de temps en temps ? (je n'ai que Antivir et Ccleaner)
Est ce qu'il faut que je change des configurations ?
http://security-domain.be/Uploader/dld.php?i=768e9300-ccb6-4d1e-9270-e55b3ab6ee09
++
Re- !
Pour iexplorer, ok, on va voir ça..
=> ce n'est peut-être pas toi, mais quelqu'un d'autre qui a installé ceci..
Attends : comme dit dans mon tout premier message :
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
=> Et ces étapes sont : Eradication > Sécurisation > Optimisation .
Donc on arrive à la fin de la première étape, on a donc pas fini l'ensemble, il en reste encore 2 :) ( mais ça dure moins longtemps que la 1ère ;-)
La suppression de tous les outils de nettoyage se feront donc vers la fin.
Je te tiens au courant pour le rapport ZHPDiag.
++
Pour iexplorer, ok, on va voir ça..
J'suis assez étonnée d'avoir été infectée par ce genre de truc. J'suis pas complétement ignorante en informatique et pas du genre à vouloir installer la météo sur mon pc lol.
=> ce n'est peut-être pas toi, mais quelqu'un d'autre qui a installé ceci..
Attends : comme dit dans mon tout premier message :
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
=> Et ces étapes sont : Eradication > Sécurisation > Optimisation .
Donc on arrive à la fin de la première étape, on a donc pas fini l'ensemble, il en reste encore 2 :) ( mais ça dure moins longtemps que la 1ère ;-)
La suppression de tous les outils de nettoyage se feront donc vers la fin.
Je te tiens au courant pour le rapport ZHPDiag.
++
J'avais rédigé une réponse à ton post et j'ai bêtement quitté sans valider.
DONC
> Je n'ai plus le rapport ZHPFix mais il avait bien tout supprimé...
> De même pour UsBFix ; il est apparu vaccination effectuée pour tous les disques.
> Je n'ai pas trouvé java dans panneaux de config mais j'ai bien installé celui que tu m'a donné.
> J'ai installé Sumatra PDF.
> SP3 en cours
> Il n'y a pas « activer la jump... » dans option>Avancé dans Ccleaner. La dernière ligne est : sauvegarder tous les paramètres dans un fichier INI
> Internet explorer 8 me demande d'installer http://www.microsoft.com/downloads/en/details.aspx?FamilyId=28E2FDB2-1AA5-4C84-8255-B3142CA2FE85&displaylang=en
DONC
> Je n'ai plus le rapport ZHPFix mais il avait bien tout supprimé...
> De même pour UsBFix ; il est apparu vaccination effectuée pour tous les disques.
> Je n'ai pas trouvé java dans panneaux de config mais j'ai bien installé celui que tu m'a donné.
> J'ai installé Sumatra PDF.
> SP3 en cours
> Il n'y a pas « activer la jump... » dans option>Avancé dans Ccleaner. La dernière ligne est : sauvegarder tous les paramètres dans un fichier INI
> Internet explorer 8 me demande d'installer http://www.microsoft.com/downloads/en/details.aspx?FamilyId=28E2FDB2-1AA5-4C84-8255-B3142CA2FE85&displaylang=en
Salut !!
Ca m'est arrivé bien des fois aussi :P
=> Ok, impeccable ;)
Pour JAVA, je te l'avais déjà fait désinstallé dans le ZHPscript, donc c'est une erreur de ma part, c'est normal qu'il n'y était pas.
=> Tu as quelle version de Ccleaner ? la 3.02.1343 ? Tu ne dois pas avoir cette version, qui est la dernière sortie.
Donc : Désinstalle Ccleaner par Ajout/suppression de programmes, puis télécharges Ccleaner à partir de cette adresse : https://www.ccleaner.com/ccleaner/download/slim
Paramètres-le comme indiqué dans mon message, puis fais un scan + correction des erreurs du registre ( et recommence jusqu'à ce qu'il n'y en ait plus du tout) et fais de même avec le nettoyeur.
=> C'est normal, fais-le ;-)
Ok pour le SP3, c'est cool si tu n'as pas eu de pbs ;)
Comment se porte le PC ?
Il nous reste encore quelques finitions à faire, c'est presque ( mais pas encore) terminé ;-)
++
<span class='signature'>*\\ "L'important n'est pas le but, mais le chemin qui y mène" //*
=>Vive Helper-Formation !<=</span>
Ca m'est arrivé bien des fois aussi :P
> Je n'ai plus le rapport ZHPFix mais il avait bien tout supprimé... > De même pour UsBFix ; il est apparu vaccination effectuée pour tous les disques. > Je n'ai pas trouvé java dans panneaux de config mais j'ai bien installé celui que tu m'a donné. > J'ai installé Sumatra PDF. > SP3 en cours
=> Ok, impeccable ;)
Pour JAVA, je te l'avais déjà fait désinstallé dans le ZHPscript, donc c'est une erreur de ma part, c'est normal qu'il n'y était pas.
> Il n'y a pas « activer la jump... » dans option>Avancé dans Ccleaner. La dernière ligne est : sauvegarder tous les paramètres dans un fichier INI
=> Tu as quelle version de Ccleaner ? la 3.02.1343 ? Tu ne dois pas avoir cette version, qui est la dernière sortie.
Donc : Désinstalle Ccleaner par Ajout/suppression de programmes, puis télécharges Ccleaner à partir de cette adresse : https://www.ccleaner.com/ccleaner/download/slim
Paramètres-le comme indiqué dans mon message, puis fais un scan + correction des erreurs du registre ( et recommence jusqu'à ce qu'il n'y en ait plus du tout) et fais de même avec le nettoyeur.
> Internet explorer 8 me demande d'installer https://www.microsoft.com/fr-fr/
=> C'est normal, fais-le ;-)
Ok pour le SP3, c'est cool si tu n'as pas eu de pbs ;)
Comment se porte le PC ?
Il nous reste encore quelques finitions à faire, c'est presque ( mais pas encore) terminé ;-)
++
<span class='signature'>*\\ "L'important n'est pas le but, mais le chemin qui y mène" //*
=>Vive Helper-Formation !<=</span>
Salut.
j'ai bien la bonne version de Ccleaner, mais ya pas ce que tu m'a dit.
Sinon rien à voir mais j'ai plus mes icônes raccourcis dans la barre des taches du bas, on fait comment pour les remettre?
L'ordi se porte bien sinon :)
Juste, sur un site que j'aime bien pour regarder des séries il y a pas mal de pubs qui s'affichent, est ce que je peux les bloquer ?
j'ai bien la bonne version de Ccleaner, mais ya pas ce que tu m'a dit.
Sinon rien à voir mais j'ai plus mes icônes raccourcis dans la barre des taches du bas, on fait comment pour les remettre?
L'ordi se porte bien sinon :)
Juste, sur un site que j'aime bien pour regarder des séries il y a pas mal de pubs qui s'affichent, est ce que je peux les bloquer ?
~~~~~~ Dossier(s) ~~~~~~
Présent : C:\Qoobox
Présent : C:\USBFix
Présent : C:\Program Files\Ad-Remover
Présent : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Présent : C:\WINDOWS\grep.exe
Présent : C:\WINDOWS\PEV.exe
Présent : C:\WINDOWS\NIRCMD.exe
Présent : C:\WINDOWS\MBR.exe
Présent : C:\WINDOWS\sed.exe
Présent : C:\WINDOWS\SWREG.exe
Présent : C:\WINDOWS\SWSC.exe
Présent : C:\WINDOWS\SWXCACLS.exe
Présent : C:\WINDOWS\zip.exe
Présent : C:\Documents and Settings\man\Bureau\OTL.exe
Présent : C:\Documents and Settings\man\Bureau\ComboFix.exe
Présent : C:\Documents and Settings\man\Bureau\avenger.exe
Présent : C:\Documents and Settings\man\Bureau\SystemLook.exe
Présent : C:\Documents and Settings\man\Bureau\UsbFix.exe
Présent : C:\Documents and Settings\man\Bureau\tdsskiller.exe
Présent : C:\Documents and Settings\man\Bureau\Report_Antivir.exe
Présent : C:\Documents and Settings\man\Bureau\AD-R.lnk
Présent : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Présent : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Présent : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Présente : HKCU\SOFTWARE\Ad-Remover
Clé Présente : HKCU\SOFTWARE\USBFix
Clé Présente : HKLM\Software\swearware
Clé Présente : HKLM\Software\OldTimer Tools
Clé Présente : HKLM\Software\Classes\.cfxxe
Clé Présente : HKLM\Software\Classes\cfxxefile
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
########## EOF - "C:\DelFixSearch.txt" - [2304 octets] ##########
C'est bon pour le raccourci d'IE
Je veux garder usbfix..
C'est normal que dans C il y ai "biosinfo" et "boot.bak" ? ?
Présent : C:\Qoobox
Présent : C:\USBFix
Présent : C:\Program Files\Ad-Remover
Présent : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Présent : C:\WINDOWS\grep.exe
Présent : C:\WINDOWS\PEV.exe
Présent : C:\WINDOWS\NIRCMD.exe
Présent : C:\WINDOWS\MBR.exe
Présent : C:\WINDOWS\sed.exe
Présent : C:\WINDOWS\SWREG.exe
Présent : C:\WINDOWS\SWSC.exe
Présent : C:\WINDOWS\SWXCACLS.exe
Présent : C:\WINDOWS\zip.exe
Présent : C:\Documents and Settings\man\Bureau\OTL.exe
Présent : C:\Documents and Settings\man\Bureau\ComboFix.exe
Présent : C:\Documents and Settings\man\Bureau\avenger.exe
Présent : C:\Documents and Settings\man\Bureau\SystemLook.exe
Présent : C:\Documents and Settings\man\Bureau\UsbFix.exe
Présent : C:\Documents and Settings\man\Bureau\tdsskiller.exe
Présent : C:\Documents and Settings\man\Bureau\Report_Antivir.exe
Présent : C:\Documents and Settings\man\Bureau\AD-R.lnk
Présent : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Présent : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Présent : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Présente : HKCU\SOFTWARE\Ad-Remover
Clé Présente : HKCU\SOFTWARE\USBFix
Clé Présente : HKLM\Software\swearware
Clé Présente : HKLM\Software\OldTimer Tools
Clé Présente : HKLM\Software\Classes\.cfxxe
Clé Présente : HKLM\Software\Classes\cfxxefile
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
########## EOF - "C:\DelFixSearch.txt" - [2304 octets] ##########
C'est bon pour le raccourci d'IE
Je veux garder usbfix..
C'est normal que dans C il y ai "biosinfo" et "boot.bak" ? ?
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\man\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\man\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\man\Bureau\avenger.exe
Supprimé : C:\Documents and Settings\man\Bureau\SystemLook.exe
Supprimé : C:\Documents and Settings\man\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\man\Bureau\tdsskiller.exe
Supprimé : C:\Documents and Settings\man\Bureau\Report_Antivir.exe
Supprimé : C:\Documents and Settings\man\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Je voulais garder usbfix au cas ou quelqu'un met une clé usb dans mon pc ...
Il y a toujours malwarebytes et GMER sur le pc.
Merci pour tout :)
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\man\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\man\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\man\Bureau\avenger.exe
Supprimé : C:\Documents and Settings\man\Bureau\SystemLook.exe
Supprimé : C:\Documents and Settings\man\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\man\Bureau\tdsskiller.exe
Supprimé : C:\Documents and Settings\man\Bureau\Report_Antivir.exe
Supprimé : C:\Documents and Settings\man\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Je voulais garder usbfix au cas ou quelqu'un met une clé usb dans mon pc ...
Il y a toujours malwarebytes et GMER sur le pc.
Merci pour tout :)