'TR/Crypt.XPACK.Gen' [trojan]

Question

Bonjour à tous, 

Ce matin, mon antivirus (Avira Antivir Personnal) a trouvé ceci :

Dans le fichier 'C:\ProgramData\Microsoft\Search\Data\Applications\Windows	mp.edb'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès.
Je pensais retrouver ce trojan en quarantaine, mais il y était pas !

J'ai donc ensuite lancé Malwarebytes qui n'a rien trouvé d'anormal et  lancé ccleaner pour nettoyer, et jusque là mon Pc portable fonctionnait parfaitement.
j' ai pensé que tout était rentré dans l'ordre et j'ai fermé mon Pc.

Mais en le rallumant cet après midi, j'ai remarqué que la mise à jour de l'antivirus n'avait pas été faite, j'ai voulu la faire manuellement, mais il est impossible pour moi de faire ce téléchargement ou un autre (j'ai voulu télécharger Hijackthis, là aussi impossible) ! 

Quelqu'un pourrait-il m'aider SVP ? D'avance merci !

Configuration: Windows 7 / Firefox 3.6.13

TiiXel · Answer

Salut !
Essaye en mode sans echec : pour ça, redémare l'ordinateur et appuie sur F8, avant le lancement de windows, choisit "mode sans echec", là, tu lance ton antivirus. Ca devrait marcher ;).
Tiens nous au courant !

moment de grace · Answer

bonjour

essai ca

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

théa · Answer

Merci pour la rapidité de vos réponses Moment de grâce et TiiXel !

voici le lien demandé :

https://pjjoint.malekal.com/files.php?id=44e8fa97ff1414 

Mais je sais pas si le scan s'est correctement déroulé car il s'est arrêté 3 fois et il était indiqué que ZHPDiag ne répond pas !

Encore merci pour votre aide !

moment de grace · Answer

le rapport n'est pas mauvais

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

théa75 · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5869

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

24/02/2011 20:44:53
mbam-log-2011-02-24 (20-44-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 165438
Temps écoulé: 3 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moment de grace · Answer

non rien à signaler

pour la mise à jour antivir, ils ont quelques soucis en ce moment

pour le téléchargement d'hijackthis, retente et en cas d'echec colle moi le lien pour voir

théa75 · Answer

Je ne peux toujours pas téléchargé Hijackthis : j'ai essayé depuis CCM, 01net et Clubic ! 
Et rien a faire, lorsque je clic sur le lien (et ce pour chaque site cité plus haut) un onglet vierge s'ouvre et c'est tout !

https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

ou

https://www.01net.com/outils/telecharger/windows/Securite/anti-spyware/fiches/tele29061.html

ou

https://www.clubic.com/telecharger-fiche17891-hijackthis.html

Je suis a peu près sûre que ces liens fonctionnent que que c'est moi qui est un problème, mais je ne sais pas comment le résoudre !

Merci beaucoup pour ton aide !

moment de grace · Answer

fais ce test stp

http://consultaide.e-monsite.com/rubrique,conficker-simples-tests,355935.html

théa75 · Answer

J'ai fais le test, j'ai 2 images différentes ( celle de f-secure & SecureWorks ) .

Mais j'ai pas trop compris la suite !

Donc mon Pc est infecté, par une variante de Conficker !

Que dois-je faire pour y remédier ?

Merci pour ta patience !

moment de grace · Answer

Télécharger, sur le Bureau : anti-Downadup-EN.zip 
http://download.bitdefender.com/resources/files/Download/en/anti-Downadup-EN.zip

* Installer 
* faire un clic-droit sur le Bureau => Nouveau => Dossier (le nommer downadup par exemple). Glisser le fichier anti-Downadup-EN.zip dans ce nouveau dossier et ouvrir ce dernier. 
Dézipper anti-Downadup-EN.zip (clic-droit => Extraire ici). 
* Cliquer sur Anti-Downadup-graphics.exe" pour lancer le programme. 
* Cliquer sur "Exécuter" ou "Run" si un message concernant l'authenticité s'affiche. 
* Cliquer sur "Start" et suivre les indications. Patienter jusqu'à la fin. 
* Si le PC n'est pas infecté, vous aurez droit à ceci :System clean 
* Sinon (message du type: Infected...), le programme vous demande de Redémarrer la machine. 
* Confirmer en cliquant sur Yes. 
* Au retour, votre PC sera nettoyé de toute trace de l'infection.

théa75 · Answer

Cela a pris quelques secondes, résultat system clean !

mais les touches tactiles (tremble/bass) sont devenu folles !

Lorsque que je vais dans gestionnaire de tâches, une application "toat" est ouverte !

Je ne sais pas ce que c'est, mais cela contrôle les touches tactile et impossible de mettre fin au processus !

Pour taper cette réponse, je suis obligée de rester le doigt appuyé sur les touches tremble/bass pour pouvoir avoir accès au clavier !

je commence sérieusement a paniqué !

Que faire maintenant ?

moment de grace · Answer

redemarre le pc et vois ce que ca dit

théa75 · Answer

Les touches tactiles sont toujours aussi folles !

L'application s'appelle "Taost" ou "Toast", elle apparait que quelques secondes !

Une amie m'a envoyé hijackthis !

Veux-tu voir le rapport ou c'est inutile ?

théa75 · Answer

up

moment de grace · Answer

fait CTRL+ALT+SUPPR/DEL, onglet "processus"): 
*	Clic droit sur hpqToaster.exe 
*	cliquer sur "Terminer le processus"

ne redemarre pas et dis moi si ca s'arrête ton soucis ?

théa75 · Answer

J'ai effectué cette manipe, mais elle n'a rien donné !

Mais de mon propre chef, j'ai effectué la même manipe sur "Tone control" et là miracle ou coïncidence,  le phénomène s'est arrêté ! 

Tout semblait bien fonctionné (sauf les touches tremble/bass, normale) mais maintenant c'est la touche HP Wireless assistant qui fait des sienne, cette dernière s'éteint puis se rallume sans raison !

Merci encore pour ton aide et  ta patience !

moment de grace · Answer

tout viens donc de ton clavier...

regarde dabns le gestionnaire de périphérique si il y a un ! ou ? jaune

théa75 · Answer

Bonjour !
 
Non pas de ! ou ? jaune du moin pour clavier !

Il y a un ! dans autres périphériques sur "My book World Edition Network Storage", je sais pas de quoi il s'agit et je n'ai aucun périphérique branché sur mon PC !

Sinon, dans clavier, est ce normale d'avoir :
-Clavier 109 MCIR Microsoft eHome
-Clavier MCIR Microsoft eHome
-Standard 101/102-key or Microsoft Natural PS/2 Keyboard with HP QLB
-Touche de clavier de controle à distance Microsoft eHome ?

Merci de ta réponse si matinale !

moment de grace · Answer

je ne sais vraiment pas

regarde là, ca vaut ce que ca vaut

https://forums.commentcamarche.net/forum/affich-3929896-pb-touches-tactiles-hp-pavilion

théa75 · Answer

Maintenant c'est le touchpad qui fait des sienne !

Je sais plus quoi faire !

Étrangement c'est lorsque que je vais sur CCM que tout ce déclenche !??

Dès que fais autre chose, FB ou MSN par exemple, impeccable tout fonctionne !??

De plus comment faire, comme j'ai arrêté le processus "tone control" si je veux le le relancer (juste pour le savoir ) !

Mille mercis pour ton aide et tes réponses très rapides !

moment de grace · Answer

mes réponses sont peut être rapides...mais je ne sais plus quoi te répondre

De plus comment faire, comme j'ai arrêté le processus "tone control" si je veux le le relancer (juste pour le savoir ) ! 


=> en redemarrant le pc


vérifier si tout est jour sur ce pc

Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker 
https://www.commentcamarche.net/telecharger/utilitaires/9771-filehippo-app-manager/
Et particulièrement Internet explorer, même s'il n'est pas ton navigateur, car les MAJ sécurité Windows ne s'opèrent que par ce chemin là
n'installe pas les BETA

théa75 · Answer

Je n'arrive toujours pas faire de téléchargement, j'ai essayé de la faire sur le site de l'éditeur et cela est toujours impossible !

Je sais vraiment plus quoi faire !

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets  internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

théa75 · Answer

Désolée pour ma réponse tardive, il m'est toujours impossible de téléchargé Combofix que se soit avec ton lien ou avec ceux proposés sur la page du guide d'utilisation !

Y'a t-il un moyen de voir ce qui cloche avec "les réglages" pour les téléchargements ?

Merci encore une fois pour ta patience !

moment de grace · Answer

télécharge celui ci qui est renommé et dis si tu y arrives

http://sd-2.archive-host.com/membres/up/135518691112296573/THEA.exe

théa75 · Answer

Bon cela a fonctionné ! 

Et voilà le rapport :

ComboFix 11-02-24.05 - Cynthia 25/02/2011  22:58:06.1.8 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.33.1036.18.4086.2513 [GMT 3:00]
Lancé depuis: c:\users\Cynthia\Downloads\THEA.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
FW: ZoneAlarm Firewall *Disabled* {D17DF357-CFF5-F001-D1C1-FCD21DFE3D5E}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://wlxindex
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-25 au 2011-02-25  ))))))))))))))))))))))))))))))))))))
.

2011-02-25 20:05 . 2011-02-25 20:05	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-02-24 19:05 . 2011-02-24 19:05	388096	----a-r-	c:\users\Cynthia\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-02-24 17:09 . 2011-02-24 17:18	--------	d-----w-	c:\program files (x86)\ZHPDiag
2011-02-23 16:04 . 2011-02-23 16:04	--------	d-----w-	c:\windows\system32\SPReview
2011-02-23 16:03 . 2011-02-23 16:03	--------	d-----w-	c:\windows\system32\EventProviders
2011-02-23 15:35 . 2010-09-14 06:45	367104	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 15:35 . 2010-09-14 06:07	276992	----a-w-	c:\windows\SysWow64\wcncsvc.dll
2011-02-23 15:14 . 2011-01-17 06:17	197120	----a-w-	c:\windows\system32\d3d10_1.dll
2011-02-23 15:14 . 2011-01-17 05:38	161792	----a-w-	c:\windows\SysWow64\d3d10_1.dll
2011-02-23 10:13 . 2011-01-07 08:07	662528	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 10:13 . 2011-01-07 08:07	475648	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-23 10:13 . 2011-01-07 07:31	442880	----a-w-	c:\windows\SysWow64\XpsPrint.dll
2011-02-23 10:13 . 2011-01-07 07:31	288256	----a-w-	c:\windows\SysWow64\XpsGdiConverter.dll
2011-02-23 10:13 . 2011-01-13 10:20	7844688	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D4C4D620-B276-4522-B72C-CBB5B1F97523}\mpengine.dll
2011-02-17 07:34 . 2011-02-17 07:34	--------	d-----w-	c:\program files (x86)\Common Files\Java
2011-02-09 05:30 . 2010-12-18 06:11	714752	----a-w-	c:\windows\system32\kerberos.dll
2011-02-03 23:21 . 2011-02-03 23:21	--------	d-----w-	c:\program files (x86)\Common Files\Adobe
2011-01-30 15:45 . 2011-01-30 15:45	135568	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
ppdf32.dll
2011-01-29 18:14 . 2011-01-29 18:14	--------	d-----w-	c:\program files\iTunes
2011-01-29 18:14 . 2011-01-29 18:14	--------	d-----w-	c:\program files\iPod

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-25 10:44 . 2009-07-14 02:36	152064	----a-w-	c:\windows\SysWow64\msclmd.dll
2011-02-25 10:44 . 2009-07-14 02:36	175104	----a-w-	c:\windows\system32\msclmd.dll
2011-02-14 13:20 . 2010-06-15 16:43	848	--sha-w-	c:\programdata\KGyGaAvL.sys
2011-02-02 18:40 . 2010-06-01 00:17	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
2010-12-20 15:09 . 2010-12-26 12:01	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 15:08 . 2010-10-27 04:46	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-18 06:08 . 2010-06-11 01:06	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-29 14:38 . 2010-11-29 14:38	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 14:38 . 2010-11-29 14:38	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\program files (x86)\ZoneAlarm	bZone.dll" [2010-05-09 2517088]

[HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]

[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]
2010-05-09 07:50	2517088	----a-w-	c:\program files (x86)\ZoneAlarm	bZone.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\program files (x86)\ZoneAlarm	bZone.dll" [2010-05-09 2517088]

[HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-08-20 2363392]
"HPADVISOR"="c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-09-29 1685048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"HPCam_Menu"="c:\program files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"Corel File Shell Monitor"="c:\program files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [2009-08-25 15544]
"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2010-02-25 323640]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2009-09-02 60464]
"HP Software Update"="c:\program files (x86)\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"WirelessAssistant"="c:\program files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2010-03-23 500792]
"DpAgent"="c:\program files (x86)\DigitalPersona\Bin\dpagent.exe" [2009-12-01 842816]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"ZoneAlarm Client"="c:\program files (x86)\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-01-25 421160]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-9-4 1081632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversionun-]
"SearchSettings"=c:\program files (x86)\pdfforge Toolbar\SearchSettings.exe
"CanalPlayer"="c:\program files (x86)\Lecteur CANALPLAY\CanalPlayer.exe"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-01 136176]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-09-17 35104]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS
etw5v64.sys [2009-06-10 5434368]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 27136]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-10-03 258560]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-12 1255736]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-06-10 389120]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 FSProFilter;FSPro File Filter;c:\windows\System32\Drivers\FSPFltd.sys [2010-07-22 54848]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2010/01/09 01:34];c:\program files (x86)\Hewlett-Packard\Media\DVD\000.fcl [2009-10-16 19:47 146928]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\AESTSr64.exe [2009-03-02 89600]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 27136]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2010-10-14 92216]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2010-06-15 30520]
S2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2009-07-12 1924400]
S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2010-02-25 227896]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2009-06-29 70656]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2009-07-21 140712]
S3 NETw5s64;Pilote de carte Intel(R) Wireless WiFi Link pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [2010-01-13 7675392]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda64v.sys [2009-06-26 83488]


[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2011-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-01 00:19]

2011-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-01 00:19]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:	hea\CF21542.cfxxe" [X]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2009-07-22 450048]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-08-25 610872]
"HPToneControl"="c:\program files\Hewlett-Packard\HPToneControl\HPTonectl.exe" [2009-07-23 99384]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-19 171520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.bing.fr/
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://www.bing.com
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
TCP: {9B65AD04-3BAA-4BB2-AE41-C4D5FC434911} = 192.168.10.50
FF - ProfilePath - c:\users\Cynthia\AppData\Roaming\Mozilla\Firefox\Profiles\jb3yguco.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613520&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?q= 
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: DigitalPersona Extension: otis@digitalpersona.com - c:\program files (x86)\DigitalPersona\Bin\FirefoxExt
FF - Ext: DigitalPersona Extension: otis@digitalpersona.com - c:\program files (x86)\DigitalPersona\Bin\firefoxext
FF - Ext: HP Detect: {ab91efd4-6975-4081-8552-1b3922ed79e2} - %profile%\extensions\{ab91efd4-6975-4081-8552-1b3922ed79e2}
FF - Ext: SocialPlus: {7a88e876-d715-4503-a7bf-a8eba13ca3f9} - %profile%\extensions\{7a88e876-d715-4503-a7bf-a8eba13ca3f9}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Close n forget: closeforget@addons.mozilla.org - %profile%\extensions\closeforget@addons.mozilla.org
FF - Ext: Flagfox: {1018e4d6-728f-4b20-ad56-37578a4de76b} - %profile%\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: App Tabs: apptabs@frankyan.com - %profile%\extensions\apptabs@frankyan.com
FF - Ext: FoxyProxy Standard: foxyproxy@eric.h.jung - %profile%\extensions\foxyproxy@eric.h.jung
FF - Ext: FoxyProxy Basic: foxyproxy@eric.h.jung - %profile%\extensions\foxyproxy@eric.h.jung
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{66F2E20D-0DA8-4C11-A9C8-DD8477B88ACD} - (no file)
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe
AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1} - c:\program files (x86)\InstallShield Installation Information\{08DB3902-2CE0-474D-BCE3-0177766CE9F1}\setup.exe



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files (x86)\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\DigitalPersona\Bin\DpHostW.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\pvsw\Bin\WGE_SRV.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
c:\program files (x86)\CyberLink\Shared files\RichVideo.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\pvsw\BIN\W3dbsmgr.EXE
c:\program files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe
c:\program files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
.
**************************************************************************
.
Heure de fin: 2011-02-25  23:13:38 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-25 20:13

Avant-CF: 404 960 571 392 octets libres
Après-CF: 404 111 515 648 octets libres

- - End Of File - - 742BAB0747DB6A0A840AD52EFF42CB3F

théa75 · Answer

up+th

moment de grace · Answer

utilise tu un proxy sous firefox ?

as tu des soucis avec internet explorer ?

théa75 · Answer

Je n'utilise pas I.E ! (je trouve trop lent, trop de pub etc...)

Et une amie m'a fait ajouter un module complémentaire à firefox : "FoxyProxy Standard" que je n'utilise pas, j'ai pas trop compris a quoi ça sert d'ailleurs !

C'est ce module qui pose problème ? 

Mes questions peuvent paraître bêtes, mais tu auras compris que je m'y connais pas vraiment !

Merci encore de ton aide !

moment de grace · Answer

bon

desinstalle ce proxy sous firefox puis redemarre et vois ce que ca donne

fais également l'essai avec IE, c'est pas pour l'adopter mais juste cerner le problème

théa75 · Answer

Désinstallation du Proxy - Faite
Réactivation I.E - Faite

Que dois-je faire maintenant ?

moment de grace · Answer

faire des essais de téléchargements sur des liens qui échouaient jusqu'à maintenant

théa75 · Answer

Désinstallation du Proxi - faite
Réactivation I.E - faite

Que dois-je faire maintenant ?

moment de grace · Answer

essai cette manip elle semble fonctionner

https://forums.commentcamarche.net/forum/affich-3929896-pb-touches-tactiles-hp-pavilion

http://forum.zebulon.fr/findpost-t177013-p1490720.html

théa75 · Answer

J'ai effectué la manipe et jusqu'à présent pas de problèmes !!!

Y'a t-il d'autres vérifications à faire à présent ?


Ps: j'ai eu la peur de ma vie à enlever la batterie de mon Pc encore allumé, mais étrangement il semblerait que ça fonctionne !!!

moment de grace · Answer

Ps: j'ai eu la peur de ma vie à enlever la batterie de mon Pc encore allumé, mais étrangement il semblerait que ça fonctionne !!!

je me doute oui , c'est comme une remise à zéro

reste ca  https://forums.commentcamarche.net/forum/affich-20978008-tr-crypt-xpack-gen-trojan?page=2#34

théa75 · Answer

Bon joie de courte durée !

Ça recommence touches tremble/basse + Wifi qui deviennent folles, et déconnexion d'internet !

Ça a recommencé après avoir lancé iTunes !

Et je ne peux toujours pas télécharger !

Que faire de plus !

moment de grace · Answer

si tu peux

Télécharger Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
* Lancer le fichier 
* Accepter les conditions 
* Autoriser le programme à accéder à Internet 
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement) 
* Téléchargement des signatures 


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

* Le scan débute dés la fin du téléchargement 
* Générer le rapport 
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt 

Pour vous aider voici un tuto rédigé par dorgane : 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

théa75 · Answer

De plus en plus désespérant, je ne peux pas télécharger Eset Nod32 !

Que faire ?

moment de grace · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

théa75 · Answer

Voilà le rapport de Gmer :

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-02-26 12:29:49
Windows 6.1.7600  
Running: mejsq3py.exe


---- Registry - GMER 1.0.15 ----

Reg   HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00271378eb43                      
Reg   HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00271378eb43 (not active ControlSet)  

---- Files - GMER 1.0.15 ----

File  C:\My Lockbox                                                                                    0 bytes

---- EOF - GMER 1.0.15 ----

moment de grace · Answer

rien par là

utilise cet outil pour voir

http://download.eset.com/special/EConfickerRemover.exe

théa75 · Answer

Là encore impossible a téléchargé !

théa75 · Answer

J'ai pu le télécharger en le renommant, mais lors du lancement il me dit que MDG.exe n'est pas une application Win32 valide !

J'ai fait clic pour résoudre les problèmes de compatibilité, mais ça ne fonctionne pas !

moment de grace · Answer

fais le en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

théa75 · Answer

Même en mode sans échec, ça ne fonctionne pas ! 

Et me répète la même chose : MDG.exe n'est pas une application Win32 valide ! 

J'ai fait clic droit pour résoudre le problème de compatibilité et ça ne fonctionne pas !

moment de grace · Answer

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide puis l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

tu peux également le renommer roguekiller. com ou firefox.exe

théa75 · Answer

J'ai reussi à le télécharger en le renommant (xxx.com) mais même après plusieurs essais Roguekiller ne se lance pas ! 
Et ça me dit la même chose : Roguekiller n'est pas une application Win32 valide !

moment de grace · Answer

en mode sans echec aussi ?

théa75 · Answer

Oui même en mode sans échec ! 

c'est un truc de fou cette histoire !

moment de grace · Answer

grrrr

* Téléchargez FindyKill sur le Bureau. 

http://www.teamxscript.org/findykillTelechargement.html

ou

http://teamxscript.changelog.fr/FindyKill.html

* Double-cliquez sur FindyKill présent sur le Bureau. 

* Choisissez l'option 1 (Recherche). 

* Laissez travailler l'outil. 

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider). 

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt). 

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

théa75 · Answer

Bon lui j'ai réussi à le lancer ! ouf !

Voici le rapport :


############################## | FindyKill V5.052 |

# User : Cynthia (Administrateurs) # CYNTHIA-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 15:35:55 | 26/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM) i7 CPU       Q 720  @ 1.60GHz
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 448,65 Go (375,69 Go free) [OS] # NTFS
# D:\ # Disque fixe local # 465,76 Go (465,39 Go free) [DATA] # NTFS
# E:\ # Disque fixe local # 16,82 Go (2,74 Go free) [RECOVERY] # NTFS
# F:\ # Disque fixe local # 99,02 Mo (95,15 Mo free) [HP_TOOLS] # FAT32
# G:\ # Disque CD-ROM
# H:\ # Disque fixe local # 141,04 Go (57,4 Go free) [City] # NTFS
# I:\ # Disque amovible # 3,73 Go (3,48 Go free) [CITY] # FAT32

################## | Eléments infectieux |

I:\autorun.inf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

moment de grace · Answer

ca va pas beaucoup nous aider

1)

! Déconnecte toi et ferme toutes application en cours (navigateur compris ) . 


* Double clique sur setup.exe de Findykill présent sur ton bureau pour lancer l'outil. 

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ... 

? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal ! 

? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt) 

 Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

___________

2)

on supprime tous les outils

Télécharge DelFix sur ton bureau.

http://www.teamxscript.org/too/Xplode/DelFix.exe


1. Lance le, choisis le bouton SUPPRESSION

2. Patiente pendant le scan jusqu'à l'ouverture du rapport.

3. Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch

____________

3)

Télécharge OTL de OLDTimer 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/


 enregistre le sur ton Bureau. 

Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

Coche les 2 cases Lop et Purity 

Coche la case devant tous les utilisateurs 

règle age du fichier sur "60 jours" 

 dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

 Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

 Copie ce lien dans ta réponse. 

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

théa75 · Answer

J'ai un petit problème le rapport de findykill à disparu !
Au moment ou j'allais le posté il a mystérieusement disparu du bureau pas moyen de le trouvé !

Surtout que le scan a été plutôt très long !

Voici le rapport OTL :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijFmWKY1O.txt

Voici le rapport Extra :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijzVoKmIo.txt

voilà le rapport delfix :

# DelFix v7.4 - Rapport créé le 26/02/2011 à 19:55
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : Cynthia - CYNTHIA-PC (Administrateur)
# Exécuté depuis : C:\Users\Cynthia\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\FyK
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)	rend micro\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Cynthia\Downloads\THEA.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\FyK.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Cynthia\Desktop\combofix rapport théa_25.02.2011.txt
Supprimé : C:\Users\Cynthia\Desktop\HiJackThis.lnk
Supprimé : C:\Users\Cynthia\Desktop\hijackthis.log
Supprimé : C:\Users\Cynthia\Desktop\RogueKiller.com.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Cynthia\Downloads\hijackthis_hijackthis_2.0.4_anglais_17891.msi

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfxxe
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2145 octets] ##########

moment de grace · Answer

on tourne en rond

vois si tu peux restaurer ton pc à une date antérieure au début de tes soucis

regarde ce lien et suis Restauration depuis Windows

https://www.malekal.com/restauration-systeme-windows/

théa75 · Answer

Bonjour !

J'utilise depuis ce matin mon Pc et plus aucun problèmes !

Je n'ai pourtant pas fait de restauration ! J'ai juste enlevé la batterie toutes la nuit !

Je sais pas quoi en pensé ! On arrête là ou on fait d'autres vérifications ?

Merci encore !

moment de grace · Answer

hello

Je sais pas quoi en pensé !

moi non plus

On arrête là ou on fait d'autres vérifications ? 

pour moi c'est ok, juste creer un nouveau point de restauration si ca reste bon, pour y revenir au besoin

théa75 · Answer

Ok ! Merci pour tout !

thea75 · Answer

Après une accalmie, me voilà de retour avec toujours les mm problèmes !

J'ai voulu restauré mon Pc, comme tu l'avais conseillé mais c'est impossible !

A chaque essais, il me répond :

" la restauration a échoué car il manque un fichier".

 Pourtant aucun problèmes lors de la création du point de restauration !

Lorsque je regarde dans le tableau du choix du point de restauration, il indiqué ceci :

"Microsoft Remote Desktop Service (Printer) 06/21/2006 6.1.7600.16385" - "Type : Pilote"

Il est impossible de faire des téléchargement des MàJ de mon antivirus ainsi que des outils de détections (CCleaner & Malwarebytes)

Donc retour case à la case départ ! Que faire ?

moment de grace · Answer

refais le test pour voir

http://consultaide.e-monsite.com/rubrique,conficker-simples-tests,355935.html

thea75 · Answer

J'ai exactement le même résultat que la 1ère fois, il y a 2 images différentes ( celle de f-secure & SecureWorks ) .

moment de grace · Answer

essaie cet outil

http://download.eset.com/special/EConfickerRemover.exe

thea75 · Answer

Je peux pas le télécharger !

moment de grace · Answer

celui là http://support.kaspersky.com/fr/faq/?qid=193238496

théa75 · Answer

Bonjour !

J'ai réussi a télécharger mais une fois l'application décompressé et le tableau de commande ouvert, je tape n'importe quelles touches comme indiqué et  rien ne se passe !

j'attends mais toujours rien !

je relance l'application et toujours rien !

moment de grace · Answer

&#8658; Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

&#8658; Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
&#8658; Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
&#8658; Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
&#8658; Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
&#8658; De retour à la fenêtre principale : choisissez Analyse complète. 
&#8658; Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
&#8658; Cliquez Oui pour Tout si un fichier est détecté. 
&#8658; A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
&#8658; Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
&#8658; Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
&#8658; Fermez Dr.Web CureIt! 
&#8658; Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
&#8658; Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

&#8658; Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
&#8658; Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
&#8658; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

thea75 · Answer

Je peux pas le faire, même problème impossible de le télécharger !

moment de grace · Answer

à partir d'un autre pc si possible télécharges et graves ceci sur un cd 
(gravure d'un iso ou d'une image) 

https://free.drweb.com/aid_admin/ 



redemarrer le pc en mettant le cd DRWEB dans le lecteur 
puis 
redémarrer le pc en bootant sur le cd Dr.Web 
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd ») 


suivre ensuite les indications de l'outil 

aide toi de ce lien 

http://jal.cyber-nux.fr/?p=123

thea75 · Answer

Bonjour !

Désolée pour cette longue attente !

Voilà miracle ou pas , ce samedi tout est redevenu normal sur mon Pc, j'ai donc pu téléchargé Drweb CureIt !

Au 1er scan (rapide), il a detecté que le fichier Host avait été modifié et que ceci pouvait être du à un malware !
Donc il a remit le fichier Host à son état d'origine après me l'avoir demandé !

Puis le 2ème scan a débuté à 12h30, pour me dire 14h24min et 38s plus tard :
"Aucun virus ou objet suspect n'a été détecté lors du scan (RC=160)"

Mais je n'ai pas pu enregistrer le rapport car le lien était grisé donc impossible à atteindre !

Je vais essayé de trouvé un autre Pc pour graver le cd, mais je me demande si c'est vraiment utile ?

Merci encore une fois de ton aide !

gen-hackman · Answer

salut le probleme semble venir de ca :

----- BITS: Il y a peut-être des sites infectés -----

hxxp://wlxindex 

Domains:: => CFScript

moment de grace · Answer

ne fais pas le cd..

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

Killall::

Domains::


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Thea75 · Answer

Le scan s'est bien déroulé, mais je n'ai plus de connexion internet !
Puis Bluescreen et le pc a redémarré correctement mais toujours pas d' accès internet !

moment de grace · Answer

fais ca et dis moi

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore

Thea75 · Answer

Ça m'indique que le pc est correctement configuré, mais le périphérique ou le ressource (www.microsoft.com) ne répond pas !

Que faire ?

gen-hackman · Answer

reinitialise les options avancées , dans les options internet dans le panneau de configuration

Thea75 · Answer

Cela n'a pas fonctionné ! Je suis toujours sans connexion internet !

gen-hackman · Answer

Restauration depuis la console de récupération : 

Au lancement de Combofix, un dump de la base de registre est effectuée par Combofix via Erunt (Tuto Erunt https://www.malekal.com/tutoriel-erunt/ ). 
Dans le cas où l'ordinateur est planté, il est possible de restaurer le registre depuis ce dump. 
La restauration se fait à partir de la console de récupération - Voila pourquoi il est important de faire installer la console de récupération lors de l'utilisation de Combofix 

    * Booter depuis la console de récupération - voir : https://www.malekal.com/installer-et-utiliser-la-console-de-recuperation/ 
    * Une fois dessus, saisissez les commandes : 
 =>  cd erdnt\subs

entrée
 
 =>    batch erdnt.con 

entrée

    * Laisser les opérations s'effectuer puis redémarrer l'ordinateur 
G3?-?@¢??@?......Concepteur de List_Kill'em...

Théa75 · Answer

Bonsoir !

Mon problème de connexion internet est résolu !

Bon c'est repartis de plus belle, impossible de télécharger les MàJ de Malwarebytes, ça me dit de télécharger la dernière version (j'ai la version 1.501.1100 du 26/12/2010 ) de plus mon pc est devenu lent !

gen-hackman · Answer

salut tu as fait la resto de avant combofix ?

'TR/Crypt.XPACK.Gen' [trojan]

79 réponses

Discussions similaires

Newsletters