Sujet Précédent Sujet Suivant

NavHelper

Résolu/Fermé
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 - 3 févr. 2011 à 17:26
 Utilisateur anonyme - 13 févr. 2011 à 17:00
Bonjour, bonjour,

Mes parents ont eu un message d'alerte de Norton, pour leurs signaler un problème sur leur PC. Faisant cas de rien (des fois ca marche!), il on continué de surfé sans problème. Mais au rédémarrage l'ordi est lent. La page d'acceuil met de longue minutes a s'afficher pour rien, puisque que tout est lent ou bloqué.

La fenetre de l'anti virus affiche

nom de l'objet :
C:\RECYCLER\S-1-5-2...\NHelper.dll

nom du virus :
Security Risk.NavHelper

Action éfectué :
L'acces au fichier à été refusé

35 réponses

  • 1
  • 2
Réponse 1 / 35
Utilisateur anonyme
3 févr. 2011 à 17:30
salut

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

0
Réponse 2 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
4 févr. 2011 à 17:48
J'ai essayer plusieur fois. Le résultat est toujours le même.
La page d'acceuil se charge sans vraiment finir. Un message d'erreur de scirpte s'affiche, que je repond oui ou non, le résultat est le même.
Impossible d'ouvrir une page web. Une fentre d'erreur s'affiche qui indique qu'il va fermé internet.

Comment faire ???
0
Réponse 3 / 35
Utilisateur anonyme
4 févr. 2011 à 17:53
prends-le d'un autre pc ou essaie en redemarrant ton pc en mode sans echec avec prise en charge reseau
0
Réponse 4 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
5 févr. 2011 à 10:14
Voila le résultat ::

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: utilisateur (Administrateur) # YOUR-E7F2723B7A [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 10:02:28 | 05/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Genuine Intel(R) CPU T2050 @ 1.60GHz
CPU 2: Genuine Intel(R) CPU T2050 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Norton Internet Security 2006 2006 [Enabled | Updated]
Firewall: Norton Internet Security 2006 2006 [(!) Disabled]
RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 66 Go (41 Go libre(s) - 62%) [] # NTFS
D:\ -> Disque fixe # 7 Go (784 Mo libre(s) - 10%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 96%) [] # FAT

################## | Éléments infectieux |


Supprimé! F:\\RECYCLER\S-7-5-25-8706128567-0681620253-066126422-3567\umqDrMqU.exe
Supprimé! C:\Recycler\S-1-5-21-4217019208-4240848164-1278860852-500
Supprimé! F:\Recycler\S-7-5-25-8706128567-0681620253-066126422-3567
Supprimé! F:\autorun.inf

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[05/02/2011 - 09:56:00 | RASHD ] C:\Autorun.inf
[24/04/2008 - 09:48:58 | N | 216] C:\boot.ini
[05/08/2004 - 22:00:00 | N | 4952] C:\Bootfont.bin
[05/02/2011 - 09:43:46 | D ] C:\Documents and Settings
[24/08/2010 - 15:34:33 | D ] C:\Données Ciel
[05/02/2011 - 09:57:51 | ASH | 1071763456] C:\hiberfil.sys
[24/04/2008 - 09:50:54 | D ] C:\hp
[05/02/2011 - 09:58:38 | N | 1404] C:\hpqp.ini
[24/04/2008 - 18:26:04 | D ] C:\I386
[26/05/2008 - 19:17:33 | N | 1724] C:\install_comp.txt
[05/09/2008 - 18:17:08 | N | 0] C:\IO.SYS
[05/09/2008 - 18:21:26 | D ] C:\jeux
[05/09/2008 - 18:17:08 | N | 0] C:\MSDOS.SYS
[05/08/2004 - 22:00:00 | N | 47564] C:\ntdetect.com
[08/08/2009 - 17:07:15 | N | 252240] C:\ntldr
[05/02/2011 - 09:57:49 | ASH | 1610612736] C:\pagefile.sys
[02/02/2011 - 18:00:55 | D ] C:\Program Files
[05/02/2011 - 10:04:35 | SHD ] C:\RECYCLER
[24/04/2008 - 18:36:44 | D ] C:\SWSETUP
[24/04/2008 - 09:49:03 | SHD ] C:\System Volume Information
[24/04/2008 - 09:52:59 | D ] C:\system.sav
[05/02/2011 - 10:04:35 | D ] C:\UsbFix
[05/02/2011 - 10:04:36 | A | 1233] C:\UsbFix.txt
[05/02/2011 - 09:56:21 | N | 49476332] C:\UsbFix_Upload_Me_YOUR-E7F2723B7A.zip
[05/02/2011 - 09:59:16 | D ] C:\WINDOWS
[05/02/2011 - 09:58:08 | N | 44] C:\XP_TV.ini
[27/07/2001 - 13:07:38 | N | 0] D:\AUTOEXEC.BAT
[05/02/2011 - 09:56:02 | RASHD ] D:\Autorun.inf
[09/01/2002 - 17:52:30 | N | 244] D:\BOOT.INI
[28/09/2005 - 23:50:44 | D ] D:\cmdcons
[25/03/2005 - 05:00:00 | N | 298096] D:\CMLDR
[28/07/2001 - 05:07:38 | N | 0] D:\CONFIG.SYS
[25/05/2005 - 01:48:26 | SH | 102] D:\Desktop.ini
[10/09/2002 - 07:21:08 | N | 7850] D:\Folder.htt
[17/06/2001 - 14:31:08 | N | 0] D:\GRAPH
[25/01/2002 - 07:21:24 | N | 0] D:\GRAPH16
[30/11/2004 - 02:01:50 | N | 225733] D:\Info.exe
[28/07/2001 - 05:07:38 | N | 0] D:\IO.SYS
[11/05/2006 - 21:12:44 | D ] D:\MiniNT
[28/07/2001 - 05:07:38 | N | 0] D:\MSDOS.SYS
[25/07/2001 - 21:00:00 | N | 45124] D:\NTDETECT.COM
[17/08/2001 - 05:32:24 | N | 0] D:\NTFS
[25/03/2005 - 05:00:00 | N | 298096] D:\NTLDR
[03/11/2005 - 06:19:52 | N | 181736] D:\protect.ed
[12/05/2006 - 06:29:10 | N | 36] D:\SAVEFILE.DIR
[08/02/2002 - 06:44:24 | N | 88038] D:\Warning.bmp
[12/05/2006 - 06:29:44 | D ] D:\I386
[25/03/2005 - 05:00:00 | N | 10] D:\WIN51
[25/03/2005 - 05:00:00 | N | 10] D:\WIN51IA
[25/03/2005 - 05:00:00 | N | 10] D:\WIN51IA.SP1
[25/03/2005 - 05:00:00 | N | 167] D:\WINBOM.INI
[23/05/2001 - 18:19:06 | N | 0] D:\XGA
[12/05/2006 - 06:29:44 | N | 33] D:\BLOCK.RIN
[16/09/2006 - 14:28:18 | N | 1294] D:\MASTER.LOG
[12/05/2006 - 06:29:54 | N | 0] D:\USER
[12/05/2006 - 06:29:54 | D ] D:\Réinstallation système
[12/05/2006 - 06:31:10 | D ] D:\PRELOAD
[12/05/2006 - 06:40:06 | RD ] D:\RECOVERY
[26/08/2006 - 16:31:26 | SHD ] D:\System Volume Information
[28/08/2006 - 01:31:48 | SHD ] D:\Recycled
[15/09/2006 - 10:59:18 | N | 0] D:\RCBoot.sys
[16/09/2006 - 14:50:54 | N | 22] D:\HPCD.sys
[26/06/2009 - 18:43:14 | D ] F:\Trinité sur Mer Sept 2007
[26/06/2009 - 18:44:18 | D ] F:\Ardennes 2007
[26/06/2009 - 18:46:20 | D ] F:\Ardennes 2009
[26/06/2009 - 18:49:18 | D ] F:\Jour de l'an 2009
[26/06/2009 - 18:49:48 | D ] F:\Cap d'agde 2009
[26/06/2009 - 18:48:38 | D ] F:\Savoie 2007
[26/06/2009 - 18:50:20 | D ] F:\Dossier peche
[02/11/2010 - 10:05:26 | D ] F:\RIVE DE GIER 06 (E)
[05/02/2011 - 09:48:38 | N | 1219268] F:\UsbFix.exe
[05/02/2011 - 09:49:58 | D ] F:\RECYCLER
[05/02/2011 - 09:49:58 | N | 692] F:\Copy of Shortcut to (1).lnk
[05/02/2011 - 09:49:58 | N | 718] F:\Copy of Shortcut to (2).lnk
[05/02/2011 - 09:49:58 | N | 923] F:\Copy of Shortcut to (3).lnk
[05/02/2011 - 09:49:58 | N | 891] F:\Copy of Shortcut to (4).lnk

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_YOUR-E7F2723B7A.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
Utilisateur anonyme
5 févr. 2011 à 14:21
re,

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 6 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
5 févr. 2011 à 21:28
Voila, voila ...


OTL.txt :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijPnsUVkf.txt

Extra.txt
http://www.cijoint.fr/cjlink.php?file=cj201102/cijLin2hJ2.txt
0
Réponse 7 / 35
Utilisateur anonyme
6 févr. 2011 à 19:06
salut

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : sous 64 bits il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre , ca le debloquera pour finir son scan

▶ Poste les rapports qui apparaitront sur ton bureau

▶▶▶ NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
0
Réponse 8 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
7 févr. 2011 à 23:48
Salut

Pour etre sur de bien avoir tout désactivé antivirus et pare feu. J'ai désactivé le centre de sécurité.
Comme indiqué ici : https://www.commentcamarche.net/faq/6916-desactiver-le-centre-de-securite-de-windows-xp

Voila les deux dossiers :

List'em
>> http://www.cijoint.fr/cjlink.php?file=cj201102/cijg8bVyeN.txt

More
>> http://www.cijoint.fr/cjlink.php?file=cj201102/cijaLtNJy7.txt
0
Réponse 9 / 35
Utilisateur anonyme
8 févr. 2011 à 03:01
Pour etre sur de bien avoir tout désactivé antivirus et pare feu. J'ai désactivé le centre de sécurité.

rien à voir , tu as juste empeché windows de t'avertir si ton antivirus ou parefeu etait desactivé....

et pour preuve , norton est encore actif :

AV : Norton Internet Security 2006 2006 [ Enabled | Updated ]

=================================

recommence , l'outil n'a pas pu fouiller le registre
0
Réponse 10 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
8 févr. 2011 à 09:53
Je comprend plus rien. Grrrr

Quand je met ma souris sur la p'tit icone Norton, vers l'horloge. La petit fênetre indique "Norton Internet Security - Désactivé"

J'ai désactivé le pare feu.
Panneau de conf > Pare feu Windows > Désactivé


Quand j'ouvre le centre de sécutité le pare feu est désactivé, mais il m'indique que l'antivirus est activé.


Y'a un truc que je dois pas faire comme il faut.

Et si je supprime les programme, Norton et Symantec, je serais plus enbeter par ce fichus antivirus ?
0
Réponse 11 / 35
Utilisateur anonyme
8 févr. 2011 à 12:57
non refais le scan en mode sans echec avec prise en charge reseau

ils ne sont pas actifs dans ce mode
0
Réponse 12 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
8 févr. 2011 à 22:18
Voici les deux dossiers :

List'em
>> http://www.cijoint.fr/cjlink.php?file=cj201102/cijd9iSf9M.txt

More
>> http://www.cijoint.fr/cjlink.php?file=cj201102/cij4S54D1Q.txt
0
Réponse 13 / 35
Utilisateur anonyme
9 févr. 2011 à 00:27
ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :



FILE:C:\Program Files\kuxsfnub
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SunJavaUpdateSched"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper"
PORT:1900:UDP
PORT:2869:TCP


▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

poste le resultat

▶ Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

=============================================

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

▶▶▶ Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse

▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
0
Réponse 14 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
9 févr. 2011 à 11:14
Voila pour le script :

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : utilisateur (Administrateurs)
Update on 07/02/2011 by g3n-h@ckm@n ::::: 13.00
Start at: 10:41:05 | 09/02/2011

Genuine Intel(R) CPU T2050 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Norton Internet Security 2006 2006 [ Enabled | Updated ]
FW : Norton Internet Security 2006[ (!) Disabled ]2006

C:\ -> Disque fixe local | 66,21 Go (35,95 Go free) | NTFS
D:\ -> Disque fixe local | 7,29 Go (554,64 Mo free) [HP_RECOVERY] | FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible | 1,89 Go (420,34 Mo free) | FAT


¤¤¤¤¤¤¤¤¤¤ Processes :


¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :

Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SunJavaUpdateSched"
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper"

¤¤¤¤¤¤¤¤¤¤ Ports closed :

closed : 1900:UDP
closed : 2869:TCP

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :

Deleted !! : C:\Program Files\kuxsfnub

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Sign control :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 10:42:52

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


Par contre quand je fais Clean l'outil se bloqe a 10 % et m'indique fichier spcécifié introuvable

Es ce que j'aurais du le faire en mode sans echec ?
0
Réponse 15 / 35
Utilisateur anonyme
9 févr. 2011 à 14:48
s'il bloque , oui
0
Réponse 16 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
9 févr. 2011 à 22:04
Le doc Kill'em :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.5 ¤¤¤¤¤¤¤¤¤¤

User : Administrateur ()
Update on 07/02/2011 by g3n-h@ckm@n ::::: 13.00
Start at: 21:46:23 | 09/02/2011

Genuine Intel(R) CPU T2050 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Norton Internet Security 2006 2006 [ Enabled | Updated ]
FW : Norton Internet Security 2006[ (!) Disabled ]2006

C:\ -> Disque fixe local | 66,21 Go (36,88 Go free) | NTFS
D:\ -> Disque fixe local | 7,29 Go (554,64 Mo free) [HP_RECOVERY] | FAT32
E:\ -> Disque CD-ROM

Boot: Safeboot
Killed : PID 800 'iexplore.exe'
Killed : PID 800 'iexplore.exe'
Killed : PID 808 'iexplore.exe'
Killed : PID 780 'explorer.exe'
Killed : PID 780 'explorer.exe'


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Documents and Settings\utilisateur\Application Data\xssend2\svcnost.exe
Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\hpzinstall.log
Quarantined & Deleted !! : C:\WINDOWS\002633_.tmp

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
InternetSettingsDisableNotify = 0 (0x0)
AutoUpdateDisableNotify = 0 (0x0)
UacDisableNotify = 0 (0x0)
AntispywareOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio -> Start = 3
EapHost -> Start = 2
Ip6Fw -> Start = 2
SharedAccess -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2

¤¤¤¤¤¤¤¤¤¤ Winlogon

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\WINDOWS\System32\userinit.exe,
System =

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HTS54108 rev.MB4O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
C:\WINDOWS\system32\drivers\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x86F6F788]
3 CLASSPNP[0xF7684FD7] -> nt!IofCallDriver[0x804E13B9] -> \Device\0000007f[0x86F75B70]
5 ACPI[0xF75DA620] -> nt!IofCallDriver[0x804E13B9] -> \Device\Ide\IAAStorageDevice-0[0x86F70030]
kernel: MBR read successfully
user & kernel MBR OK


End of Scan : 21:49:22




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Et voila pour le zip :
http://www.cijoint.fr/cjlink.php?file=cj201102/cij2NgdoOT.zip
0
Réponse 17 / 35
Utilisateur anonyme
9 févr. 2011 à 22:14
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 18 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
10 févr. 2011 à 11:06
J'ai fait une bétise ...

Comme j'ai pas d'acces a internet j'ai téléchargé le logicel via un autre ordi et sans mise a jour. J'ai donc suivit tes instructions, tout comme il faut. Il fallais redémarrer l'ordi se que j'ai fait, juste apres avoir enregistré le rapport.

J'ai ouvert Malwarebyte, il ma proposé une mise a jour j'ai cliqué sur OK. La mise a jour efféctué y'a plus rien dans le logs.

Sinon le rapport que j'ai "sauvé" le voila.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10/02/2011 10:41:34
mbam-log-2011-02-10 (10-41-34).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 257614
Temps écoulé: 57 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\utilisateur\local settings\Temp\1B7.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\541.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\543.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files\temp\11tmp.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b0d22be2-a227-4068-a48a-e6b79217b4ba}\RP458\A0050840.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b0d22be2-a227-4068-a48a-e6b79217b4ba}\RP459\A0055812.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b0d22be2-a227-4068-a48a-e6b79217b4ba}\RP459\A0056781.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\WINDOWS\dbdmge1n.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\menu démarrer\pages annuaire.lnk (Adware.GibMedia) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\0.6028657439388222.exe (Trojan.Dropper) -> Quarantined and deleted successfully.


Es ce que ce soir, je refais la même chose avec la mise a jour ???


Signé : Le boulet
0
Réponse 19 / 35
Utilisateur anonyme
10 févr. 2011 à 14:11
salut regarde dans l'onglet rapport/logs de malwarebytes , l'avant dernier en date
0
Réponse 20 / 35
coyote_vert Messages postés 83 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 13 février 2013 10
10 févr. 2011 à 21:38
Logs est vide, y'a rien. Même pas le rapport que je t'ai envoyer.
0