[virus] TR/Crypt.XPACK.Gen

mektub -  
 Utilisateur anonyme -
Bonjour,

tout d'abord merci à vous pour ce que vous faites, ensuite:

ma copine s'installe derriere son pc, elle ne touche à rien et ding, antivir lui dit qu'il y a un virus dans le pc.
c'est TR/Crypt.XPACK.Gen qui se trouve dans:
program files(x86)\windows arium\shellarium\selectAll.exe

si j'y vais manuellement j'ai un fichier nommé closeall.exe avec une croix rouge en guise de logo.

est-ce que je peux le supprimer manuellement ou est-ce un fichier utile ?

en attendant de savoir quoi faire avec ce virus, j'ai déjà passé un coup de MBAM mis à jour qui l'a detecté, je lui ai juste demandé de le mettre en quarantaine et il a poursuivi le scan sans rien detecter d'autre.

est ce que je peux demander à MBAM de le supprimer tout simplement ?

merci d'avance !
A voir également:

86 réponses

Réponse 1 / 86
Utilisateur anonyme
 
salut malwarebytes' n'est pas une poude miracle !!

( pour un professionnel de l'informatique !!! )

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
1
Réponse 2 / 86
mektub
 
même symptomes

edit: je viens d'essayer avec dl.free.fr > même resultat (prob passerelle)
1
Réponse 3 / 86
mektub
 
euh je rectifie: en fait quand MBAM a scané le disque il s'est arreté sur le fichier en question et c'est anti vir qui à ce moment là m'a demandé quoi faire avec,
je l'ai donc mis en quarantaine, le scan MBMA continue et se termine sans rien detecter d'autre
j'ai vidé la quarantaine d'antivir puis je suis retourné à l'emplacement du trojan, mais le fichier y est toujours.
program files(x86)\windows arium\shellarium\selectAll.exe

est-ce un fichier normal pour le bon fonctionnement de windows ou est-ce le trojan qui resiste à MBAM et Antivir ?
0
Réponse 4 / 86
mektub
 
ok j'ai les 2 .txt sur mon bureau mais sur cijoint.fr, dès que je clique sur le bouton "cliquez ici pour deposer le fichier" le lien n'apparait pas, et c'est ma connexion qui plante.
je suis sur windows 7, je clique sur l'icone dans la barre des taches en bas à droite et je fais resolution des probleme, il me redonne la connexion, je recommence la manip sur cijoint.fr et de nouveau la connexion plante...

ça peut être lié ?
est-ce un hasard ?

edit: je viens de reessayer une 3eme fois, même resultat
il y a un probleme avec la passerelle.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 86
Utilisateur anonyme
 
essaie ici :

https://www.cjoint.com/
0
Réponse 6 / 86
Utilisateur anonyme
 
bonjour

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Tools puis Reset TCP/IP_Winsowk

ensuite relance-le , puis choisis l'option tools puis kill Proxy

et retente de m'envoyer les deux rapports OTL
0
Réponse 7 / 86
mektub
 
au regret de dire que la connexion plante toujours...
0
Réponse 8 / 86
Utilisateur anonyme
 
clic droit sur les rapports , => envoyer vers ,=> dossiers compressés , puis essaie de m'envoyer les archives via cijoint
0
Réponse 9 / 86
mektub
 
ah en .rar ça ne fonctionne pas mais c'est ok en .zip
bizarre le log OTL ne faisait que 191mo et cijoint.fr annonce qu'ils supportent jusqu'à 8mo par fichier, bref

voici le log OTL
http://www.cijoint.fr/cjlink.php?file=cj201102/cijonMZmFy.zip

et l'extra: pas eu besoin de le compresser celui ci:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijBVXnmnH.txt

c'est grave docteur ?
0
Réponse 10 / 86
Utilisateur anonyme
 
ok je crois avoir compris ce qui est appelé TR/Crypt.XPACK.Gen


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 11 / 86
mektub
 
ComboFix 11-01-31.02 - nous 03/02/2011 19:41:04.2.2 - x64
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2047.1081 [GMT 1:00]
Lancé depuis: c:\users\nous\Desktop\fred.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-03 au 2011-02-03 ))))))))))))))))))))))))))))))))))))
.

2011-02-03 18:44 . 2011-02-03 18:44 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-03 15:53 . 2011-02-03 15:53 -------- d-----w- c:\program files (x86)\List_Kill'em
2011-02-03 14:53 . 2011-02-03 14:53 -------- d-----w- C:\Kill'em
2011-02-01 12:54 . 2011-02-03 04:25 -------- d-----w- c:\users\nous\AppData\Local\freetvradio Air
2011-02-01 12:54 . 2011-02-01 12:58 -------- d-----w- c:\users\nous\AppData\Roaming\freeTVRadio
2011-01-24 18:04 . 2011-01-24 18:04 -------- d-----w- c:\program files (x86)\Microsoft Works
2011-01-24 18:02 . 2011-01-24 18:02 -------- d-----w- c:\program files (x86)\Microsoft Visual Studio 8
2011-01-24 18:01 . 2011-01-24 18:01 -------- d-----r- C:\MSOCache
2011-01-24 17:28 . 2011-01-24 17:59 -------- d-----w- c:\program files (x86)\Office.2007.FULL.Crack
2011-01-24 16:50 . 2011-01-24 16:50 -------- d-----w- c:\windows\Aide
2011-01-24 16:50 . 2011-01-24 16:50 -------- d-----w- c:\windows\forms
2011-01-24 16:50 . 2011-01-24 16:50 -------- d-----w- c:\program files (x86)\Windows Messaging
2011-01-24 16:50 . 2011-01-24 16:50 1409 ----a-w- c:\windows\offsetup.for
2011-01-15 17:48 . 2011-01-15 17:48 -------- d-----w- c:\users\compte test
2011-01-14 14:24 . 2011-02-03 18:44 -------- d-----w- c:\users\nous\AppData\Local\PMB Files
2011-01-14 14:24 . 2011-01-14 20:00 -------- d-----w- c:\programdata\PMB Files
2011-01-14 14:24 . 2011-01-14 14:24 -------- d-----w- c:\program files (x86)\Pando Networks
2011-01-14 13:50 . 2011-01-24 18:03 -------- d-----w- c:\program files (x86)\Microsoft.NET
2011-01-14 13:43 . 2011-01-14 13:43 889416 ----a-w- c:\program files (x86)\dotNetFx40_Full_setup.exe
2011-01-14 13:23 . 2011-01-14 13:24 24278048 ----a-w- c:\program files (x86)\dotnetfx.exe
2011-01-13 20:07 . 2010-10-16 05:17 720896 ----a-w- c:\windows\system32\odbc32.dll
2011-01-13 20:07 . 2010-10-16 05:16 495616 ----a-w- c:\program files\Common Files\System\ado\msadox.dll
2011-01-13 20:07 . 2010-10-16 05:16 466944 ----a-w- c:\program files\Common Files\System\ado\msadomd.dll
2011-01-13 20:07 . 2010-10-16 05:16 1425408 ----a-w- c:\program files\Common Files\System\ado\msado15.dll
2011-01-13 20:07 . 2010-10-16 05:16 258048 ----a-w- c:\program files\Common Files\System\msadc\msadco.dll
2011-01-13 20:07 . 2010-10-16 04:34 573440 ----a-w- c:\windows\SysWow64\odbc32.dll
2011-01-13 20:07 . 2010-10-16 04:33 372736 ----a-w- c:\program files (x86)\Common Files\System\ado\msadox.dll
2011-01-13 20:07 . 2010-10-16 04:33 352256 ----a-w- c:\program files (x86)\Common Files\System\ado\msadomd.dll
2011-01-13 20:07 . 2010-10-16 04:33 987136 ----a-w- c:\program files (x86)\Common Files\System\ado\msado15.dll
2011-01-13 20:07 . 2010-10-16 04:33 208896 ----a-w- c:\program files (x86)\Common Files\System\msadc\msadco.dll
2011-01-09 14:08 . 2011-01-09 14:08 -------- d-----w- c:\programdata\Ableton
2011-01-09 14:08 . 2011-01-09 14:08 -------- d-----w- c:\users\nous\AppData\Roaming\Ableton
2011-01-09 14:07 . 2009-03-31 13:47 368640 ----a-w- c:\windows\SysWow64\ReWire.dll
2011-01-09 14:07 . 2009-03-31 13:47 233472 ----a-w- c:\windows\SysWow64\REX Shared Library.dll
2011-01-09 14:06 . 2011-01-09 14:06 -------- d-----w- c:\program files (x86)\Ableton
2011-01-09 13:37 . 2011-01-09 13:37 -------- d-----w- c:\programdata\Adobe Systems
2011-01-09 13:27 . 2011-01-09 13:27 -------- d-----w- c:\program files (x86)\Common Files\Adobe Systems Shared
2011-01-09 13:22 . 2011-01-09 13:28 -------- d-----w- c:\program files (x86)\Adobe Audition v3
2011-01-08 21:53 . 2011-01-09 13:21 -------- d-----w- c:\program files (x86)\Ableton Live 8
2011-01-08 21:51 . 2011-01-29 04:45 -------- d-----w- c:\program files (x86)\Ableton live 8.0.4 Suite+Korg legacy coll+VST's+samples
2011-01-05 04:15 . 2011-01-26 18:49 -------- d-----w- c:\users\nous\AppData\Roaming\vlc
2011-01-05 04:14 . 2011-01-05 04:14 19985265 ----a-w- c:\program files (x86)\vlc-1.1.5-win32.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-12-10 15:38 38224 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-12-10 15:38 24152 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-10 15:33 . 2010-12-10 15:32 7622112 ----a-w- c:\program files (x86)\mbam-setup-1.50.0.0.exe
2010-12-02 18:18 . 2010-12-02 18:18 11048222 ----a-w- c:\program files (x86)\pfs-setup.exe
2010-12-02 02:31 . 2010-12-02 02:31 568664 ----a-w- c:\program files (x86)\GoogleEarthPluginSetup.exe
2010-11-12 17:53 . 2010-09-23 12:11 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
2010-11-03 22:57 . 2010-11-03 22:57 6274424 ----a-w- c:\program files (x86)\Silverlight.exe
2010-11-02 18:33 . 2010-11-02 18:33 462679 ----a-w- c:\program files (x86)\icosauve_icosauve_4.2.1.2_francais_10427.exe
2010-10-29 23:50 . 2010-10-29 23:48 13538608 ----a-w- c:\program files (x86)\FreeVideoToMp3Converter.exe
2010-10-29 22:54 . 2010-10-29 22:54 421984 ----a-w- c:\program files (x86)\switchsetup.exe
2010-10-29 21:52 . 2010-10-29 21:51 4562387 ----a-w- c:\program files (x86)\ultra-swf-flv-converter.exe
2010-10-29 21:01 . 2010-10-29 21:00 11873890 ----a-w- c:\program files (x86)\audacity-win-unicode-1.3.12.exe
2010-10-29 20:30 . 2010-10-29 20:30 1439435 ----a-w- c:\program files (x86)\winrar_winrar_3.93_final_32_bits_francais_9632.exe
2010-10-12 10:30 . 2010-10-12 10:30 5129616 ----a-w- c:\program files (x86)\CanalPlayerInstaller2606FR.exe
2010-09-29 14:43 . 2010-09-29 14:42 43426704 ----a-w- c:\program files (x86)\gimp-2.6.10-setup.exe
2010-09-29 14:13 . 2010-09-29 14:13 1266512 ----a-w- c:\program files (x86)\wlsetup-custom.exe
2010-09-23 12:09 . 2010-09-23 12:09 874272 ----a-w- c:\program files (x86)\jxpiinstall.exe
2010-09-18 10:53 . 2010-09-18 10:53 6056683 ----a-w- c:\program files (x86)\foxmail65(022)_fr(build_009).exe
2010-09-15 00:27 . 2010-09-15 00:27 947592 ----a-w- c:\program files (x86)\SkypeSetup.exe
2010-09-13 16:43 . 2010-09-13 16:48 159144 ----a-w- c:\program files (x86)\WindowsActivationUpdate.exe
2010-09-13 16:22 . 2010-09-13 16:21 27565744 ----a-w- c:\program files (x86)\AdbeRdr930_fr_FR.exe
2010-09-13 01:17 . 2010-09-13 01:16 62830487 ----a-w- c:\program files (x86)\Vista_Win7_R248.exe
2010-09-12 17:49 . 2010-09-12 17:49 328568 ----a-w- c:\program files (x86)\utorrent.exe
2010-09-12 15:36 . 2010-09-12 15:35 54129154 ----a-w- c:\program files (x86)\pilote_hd_audio_realtek_r2.39_vista_7_3854.exe
2010-09-12 00:13 . 2010-09-12 00:12 15554456 ----a-w- c:\program files (x86)\TeamSpeak3-Client-win64-3.0.0-beta29.exe
2010-09-11 17:09 . 2010-09-11 17:09 8600360 ----a-w- c:\program files (x86)\Firefox Setup 3.6.9.exe
2010-09-10 13:55 . 2010-09-10 13:55 3795360 ----a-w- c:\program files (x86)\rcsetup138.exe
2010-09-10 13:52 . 2010-09-10 13:52 30991592 ----a-w- c:\program files (x86)\avira_antivir_personal_fr.exe
.

------- Sigcheck -------

[-] 2010-03-23 . A9A5EB3F39BFE0AE4D3E192F4E123963 . 2852864 . . [6.1.7600.16385] . . c:\windows\explorer.exe
[7] 2010-03-20 . 2626FC9755BE22F805D3CFA0CE3EE727 . 2614272 . . [6.1.7600.16385] . . c:\windows\SysWOW64\explorer.exe
[7] 2010-03-20 . 2626FC9755BE22F805D3CFA0CE3EE727 . 2614272 . . [6.1.7600.16385] . . c:\windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_b819b343c7ba6202\explorer.exe
[-] 2010-03-20 . B76B4639731BBA9FBB938B6449C86EC4 . 2852864 . . [6.1.7600.16385] . . c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_adc508f19359a007\explorer.exe
[7] 2010-03-20 . C76153C7ECA00FA852BB0C193378F917 . 2614272 . . [6.1.7600.16385] . . c:\windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_b89b8100e0dd69c2\explorer.exe
[7] 2010-03-20 . B8EC4BD49CE8F6FC457721BFC210B67F . 2870272 . . [6.1.7600.16385] . . c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_ae46d6aeac7ca7c7\explorer.exe
[7] 2009-11-26 . B95EEB0F4E5EFBF1038A35B3351CF047 . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_b853c407c78e3ba9\explorer.exe
[7] 2009-11-26 . F170B4A061C9E026437B193B4D571799 . 2868224 . . [6.1.7600.16385] . . c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_adff19b5932d79ae\explorer.exe
[7] 2009-11-26 . 9FF6C4C91A3711C0A3B18F87B08B518D . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_b8d95faae0af7617\explorer.exe
[7] 2009-11-26 . 700073016DAC1C3D2E7E2CE4223334B6 . 2868224 . . [6.1.7600.16385] . . c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_ae84b558ac4eb41c\explorer.exe
[7] 2009-07-14 . C235A51CB740E45FFA0EBFB9BAFCDA64 . 2868224 . . [6.1.7600.16385] . . c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe
[7] 2009-07-14 . 15BC38A7492BEFE831966ADB477CF76F . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-02-03_16.43.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-11 15:10 . 2011-02-03 18:14 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
- 2010-09-11 15:10 . 2011-02-03 16:07 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"Google Update"="c:\users\nous\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-12-02 136176]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-01-14 3046808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2010-05-03 163992]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

c:\users\nous\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
binternet.lnk - c:\users\nous\binternet.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideSCAHealth"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"HideSCAHealth"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-02 136176]
R3 rtl819xpn64;Pilote NT pour carte réseau (Mini-) PCI Realtek RTL8190/RTL8192E pour réseau Wi-Fi 802.11n;c:\windows\system32\DRIVERS\rtl819xp.sys [2010-02-01 622624]
R3 Service CANALPLAY;Service CANALPLAY;c:\program files (x86)\Lecteur CANALPLAY\CanalPlayService.exe [2010-09-28 450560]
R3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-13 1255736]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-11-24 202752]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2010-05-03 188416]
S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\l160x64.sys [2009-10-13 61440]

.
Contenu du dossier 'Tâches planifiées'

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-02 02:32]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-02 02:32]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3003637496-3130158591-3297055510-1000Core.job
- c:\users\nous\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-03 02:32]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3003637496-3130158591-3297055510-1000UA.job
- c:\users\nous\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-03 02:32]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-04-30 10806816]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
mStart Page = hxxp://www.google.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
Trusted Zone: chat-land.org
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
FF - ProfilePath - c:\users\nous\AppData\Roaming\Mozilla\Firefox\Profiles\98xtix6r.default\
FF - prefs.js: browser.search.selectedEngine - Recherche de vidéos YouTube
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Ant Video Downloader: anttoolbar@ant.com - %profile%\extensions\anttoolbar@ant.com
FF - Ext: 1-Click YouTube Video Downloader: YoutubeDownloader@PeterOlayev.com - %profile%\extensions\YoutubeDownloader@PeterOlayev.com
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-02-03 19:46:33
ComboFix-quarantined-files.txt 2011-02-03 18:46
ComboFix2.txt 2011-02-03 16:45

Avant-CF: 53 707 636 736 octets libres
Après-CF: 53 650 440 192 octets libres

- - End Of File - - 89AE406E36F896E0AF73918469D011E7
0
Réponse 12 / 86
Utilisateur anonyme
 
▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
0
Réponse 13 / 86
mektub
 
ok je ne peux pas m'en occuper maintenant, je ferais ça ce soir assez tard (passé minuit je pense), merci beaucoup pour ton aide !
à plus tard.
0
Réponse 14 / 86
Utilisateur anonyme
 
ok à te lire :)
0
Réponse 15 / 86
mektub
 
bon, j'ai pas de bol ou alors je suis une bille pour le faire démarrer en mode sans echec mais voilà ce qui se passe:

je redémarre, je tapote F8, il me demande sur quoi je veux booter, et ensuite il me propose le mode sans echec, je le selectionne, je valide, j'attends un peu, il charge les pilotes, ensuite il me demande quelle session je veux ouvrir.
je selectionne celle sur laquelle je vais toujours, je met le mot de passe et là il redémarre de lui même en mode normal (la touche F8 ne donne plus rien à ce moment là, je suis obligé d'attendre l'ecran avec le choix des session pour redemarrer et retapoter F8 pour recommencer avec l'autre session.

mais c'est pareil, il reboot

ça s'appelle avoir la poisse ou bien ? o_O
0
Réponse 16 / 86
Utilisateur anonyme
 
re,

fais-le en normal alors....
0
Réponse 17 / 86
mektub
 
en normal:

vers 5h du mat j'ai lancé l'analyse rapide qui 'a rien trouvé, ensuite dans la foulée, j'ai lancé l'analyse complete qui a detecté 3 fichiers infectés, j'ai cliqué sur "oui pour tous" mais la progression du scan etait très lente, je l'ai donc laissé tourner toute la nuit et j'ai été surpris de voir que vers midi la barre de progression etait bloqué à 1/6 environ sans avoir trouvé de nouveau fichier infecté.

7h00 de scan pour 1/6 des fichiers scanné, c'est normal ?
0
Réponse 18 / 86
Utilisateur anonyme
 
des fois il dure 25h ce scan , c'est rare mais ca arrive...
0
Réponse 19 / 86
mektub
 
ah ! ok ok du coup, je vais devoir faire ça ce week end, pas le choix.
on se reparle lundi alors :)
merci pour tout.
0
Réponse 20 / 86
Utilisateur anonyme
 
pas de soucis :) fais remonter le sujet :)
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses