Windows XP infecté par system tool

Résolu
alex78 -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Mon ordinateur sous Windows XP s'est fait infecté par System Tool.
Ne m'y connaissant que très peu en informatique, j'ai trouvé ce forum ou j'ai vu plusieurs posts à propos de system tool résolus, j'espère donc que vous pourrez m'aider (moment de grace à l'air de bien porter son pseudo ^^)

En gros les symptomes : fond d'écran bleu warning, impossibilité de lancer des programmes/applications windows autres que navigateur internet (firefox) à priori.

Antivirus utilisé : Avast antivirus gratuit.

Je n'ai pas osé me remettre sur un post ancien car les configurations changent selon les utilisateurs, j'aimerais donc savoir la marche à suivre/logiciels à télécharger/rapports à founrir...

Je vous suis d'avance très reconnaissant !

Alex78

32 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par System Tool touche un PC sous Windows XP, provoquant un fond d'écran bleu avertissement et l’impossibilité de lancer des programmes autres que le navigateur. La meilleure réponse préconise RogueKiller et MBAM pour éliminer les malwares, puis la génération de rapports à publier et la vérification des mises à jour des principaux logiciels. D’autres contributions recommandent AD-Remover, UsbFix et ZHPDiag avec ZHPFix, accompagnés de rapports à transmettre via un service de partage de fichiers. En cas d’échec, la démarche peut être répétée en mode sans échec et, le cas échéant, d’autres outils de détection peuvent être employés, tandis que les mises à jour Java et Adobe restent prioritaires.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    bonjour,

    Tu vas faire ceci:

    - Télécharge sur le bureau RogueKiller de Tigzy
    - Quitte tous tes programmes en cours
    - Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    - Sinon lance simplement RogueKiller.exe
    - Lorsque demandé, tape 2 [DELETE] et valide
    - Poste le rapport RKreport.txt présent sur le bureau.

    * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

    Ensuite tu fais ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Cela fait deux rapports à poster

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    4
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM et vide la quarantaine.
    Je te :
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    1
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On a bien fait de faire ce diagnostic. Tu as des barres d'outils infectées et surement une infection par clés USB

    Pour ton information lis bien les dossiers ci-dessous:
    Les Toolbars ce n'est pas obligatoires
    Infections par disques amovibles
    Infections par disques amovibles 2

    Tu vas faire ceci:

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Ensuite ceci:
    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : "Recherche"

    Cela fait deux rapports à poster

    Smart
    1
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On va passer à la phase finale. il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseils de prévention quand on surfe sur Internet

    Fais les mises à jour suivantes:

    Mise à jour Windows XP vers SP3:
    http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

    Mise à jour IE8
    https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

    Mise à jour Avast 5 vers Avast 6:
    Ouvre Avast Antivirus, va dans Maintenance puis dans Mise à jour et clique sur Mise à jour du programme

    Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
    Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
    Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24

    Mise à jour Adobe Reader 10.0.1
    Désinstalle Adobe
    Installer Adobe 10.0.1

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    et lis ceci: Pourquoi tenir ses programmes a jour

    Optimisation:

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    CTFDisabled
    O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
    O23 - Service: (c040384c-7cb5-45a3-b1f9-be07c2f57edf) - Clé orpheline
    OPT:O4 - HKLM\..\Run: [QuickFinder Scheduler] . (.Novell, Inc., c/o Corel Corporation Limited - QuickFinder Index Scheduler.) -- C:\Program Files\Corel\WordPerfect Office 2002\Programs\QFSCHD100.exe
    OPT:O4 - HKLM\..\Run: [OrderReminder] . (.Hewlett-Packard - HP Cartridge Order Reminder.) -- C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
    OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- C:\Program Files\iTunes\iTunesHelper.exe
    OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-21-1085031214-1580436667-682003330-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated.) -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.) -- C:\Program Files\Microsoft Office\Office\OSA9.EXE
    OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
    OPT:SS - | Auto 29/08/2008 238888 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe


    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Fais déjà ceci on fera le reste ensuite

    Smart
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    Edit ::

    zut raté^^
    G3?-?@¢??@?......Concepteur de List_Kill'em...
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      :-)
      0
  7. Caligula78 Messages postés 73 Statut Membre 1
     
    Bonjour, c'est toujours Alex78 qui s'est créé un compte pour l'occasion.

    J'ai téléchargé RogueKiller, mais quand je double clique dessus (Je suis sous XP) il ne s'est rien passé.
    J'ai recliqué plusieurs fois, il m'a semblé voir une "boite noire" ressemblant à la boite de commande de windows s'afficher 1/2 seconde puis disparaitre.

    (Au moment de lancer RogueKiller, un avertissement de sécurité de l'ordinateur me demande si je veux bien l'exécuter, ce à quoi je reponds bien sur oui).

    Y a-t-il un autre moyen de lancer RogueKiller, ou est ce que je procède mal ?

    Quoiqu'il en soit merci beaucoup pour vos réponses rapides.
    0
    1. gen-hackman
       
      renomme-le winlogon
      0
  8. Caligula78 Messages postés 73 Statut Membre 1
     
    Je l'ai renommé et relancé, il a bien fonctionné! Merci beaucoup ! Voici le rapport :
    RogueKiller V4.1.0 par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Famille Noyer [Droits d'admin]
    Mode: Suppression -- Date : 04/03/2011 16:25:20

    Processus malicieux: 2
    [APPDT/TMP/DESKTOP] lOaBgMe02400.exe -- c:\documents and settings\all users\application data\loabgme02400\loabgme02400.exe -> KILLED
    [APPDT/TMP/DESKTOP] winlogon.exe -- c:\documents and settings\famille noyer\bureau\winlogon.exe -> KILLED

    Entrees de registre: 0

    Fichier HOSTS:

    Termine

    Je m'attelle à Malwarebytes
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      J'ai téléchargé Malwarebytes, l'ai mis à jour, ai lancé la recherche complète.

      J'espère juste que l'ordinateur ne se redémarrera pas avant la fin de la recherche (depuis qu'il y a System Tool, il redémarre tout seul au bout de ... 20 minutes 1/2 heure je dirais)
      0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Normalement le processus a été supprimé par RK. Il ne devrait pas redémarrer.
    En revache c'est quoi ce fichier winlogon.exe qui se trouvait sur ton bureau ? Tu as renommé RogueKiller en winlogon ?

    Sinon j'attends le rapport MBAM

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      Oui comme conseillé j'avais renommé RogueKiller en winlogon.

      Effectivement il n'a pas redémarré, la recherche dure depuis 2h30 maintenant.

      Je verrais les résultats demain.

      En tout cas merci beaucoup pour vos réponses rapides et efficaces =)
      0
  10. Caligula78 Messages postés 73 Statut Membre 1
     
    Voilà le rapport MBAM :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5954

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.13

    05/03/2011 03:40:47
    mbam-log-2011-03-05 (03-40-47).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|H:\|)
    Elément(s) analysé(s): 321300
    Temps écoulé: 3 heure(s), 40 minute(s), 24 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    c:\documents and settings\famille noyer\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> 2952 -> Unloaded

    process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\lOaBgMe02400 (Rogue.SystemTool.M) -> Value:

    lOaBgMe02400 -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1)

    Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    e:\WINNT\system32\iasrad.dll (Spyware.PWS) -> Quarantined and deleted successfully.
    e:\WINNT\system32\dllcache\iasrad.dll (Spyware.PWS) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\loabgme02400\loabgme02400.exe (Rogue.SystemTool.M) ->

    Quarantined and deleted successfully.
    c:\documents and settings\famille noyer\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and

    deleted successfully.


    *Note : winlogon = RogueKiller que j'avais renommé

    Là je vais redémarrer l'ordinateur comme il le demande.
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      L'ordi s'est bien redémarré, plus d'écran bleu ou d'apparition de System Tool, je peux relancer des programmes, j'ai juste l'impression qu'il a supprimé RogueKiller que j'avais renommé en winlogon.

      Je ne sais pas si c'est fini pour autant, j'attends vos réponses.

      Quoiqu'il en soit merci beaucoup, je suis déjà très soulagé =)
      0
  11. Caligula78 Messages postés 73 Statut Membre 1
     
    J'ai fait comme recommandé, l'analyse ZHPDiag a pris seulement 2 minutes, voici le lien du ZHPDiag.txt :

    http://www.cijoint.fr/cjlink.php?file=cj201103/cij22mn6dI.txt

    Merci beaucoup pour ses réponses rapides et efficaces =)
    0
  12. Caligula78 Messages postés 73 Statut Membre 1
     
    Alors 1er rapport de AD-R :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 09:41:34 le 05/03/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 2 (X86)
    Famille Noyer@NOYER ( )

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Program Files\PacificPoker

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKCU\Software\pacificpoker
    Clé supprimée: HKCU\Software\pokerinstaller
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.15 (fr)] ****

    HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)

    -- C:\Documents and Settings\Famille Noyer\Application Data\Mozilla\FireFox\Profiles\5z82n4db.default --
    Extensions\fr@dictionaries.addons.mozilla.org (Dictionnaire français «Réforme 1990»)
    Extensions\{B2DA00A7-44EC-4EE0-BCAF-202DF33AB878} (FireSpy)
    Extensions\{b66bc4c3-6d25-4a10-8c59-01daa9063051} (FoxGame)
    Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} (Greasemonkey)
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

    ========================================

    **** Internet Explorer Version [7.0.5730.13] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\ShellBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
    HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
    HKCU_Toolbar\WebBrowser|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
    HKLM_Toolbar|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
    HKLM_Extensions\{4B30061A-5B39-11D3-80F8-0090276F843F} - "Net2Phone" (n2p.ico)
    BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 05/03/2011 09:52:34 (993 Octet(s))

    Fin à: 09:54:43, 05/03/2011

    ============== E.O.F ==============

    Je m'attelle à USB fixe là
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      M'étant reconnecté pour télécharger USB fixe, je n'ai pas désactivé d'antivirus, mais il a l'air de fonctionner quand meme.
      0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK j'attends le rapport USBFix

    Smart
    0
  14. Caligula78 Messages postés 73 Statut Membre 1
     
    Voilà le rapport USBfix :

    ############################## | UsbFix 7.041 | [Recherche]

    Utilisateur: Famille Noyer (Administrateur) # NOYER [ ]
    Mis à jour le 24/02/2011 par TeamXscript
    Lancé à 10:05:32 | 05/03/2011
    Site Web: http://www.teamxscript.org
    Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: AMD Athlon(tm) Processor
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Activé
    Antivirus: avast! Antivirus 5.0.83952505 [Enabled | Updated]
    RAM -> 511 Mo
    C:\ (%systemdrive%) -> Disque fixe # 76 Go (28 Go libre(s) - 36%) [Nouveau nom] # NTFS
    D:\ -> Disque fixe # 4 Go (622 Mo libre(s) - 16%) [WIN98] # FAT32
    E:\ -> Disque fixe # 4 Go (2 Go libre(s) - 61%) [WIN2000] # NTFS
    F:\ -> Disque fixe # 29 Go (8 Go libre(s) - 26%) [FICHIERS] # NTFS
    G:\ -> CD-ROM
    H:\ -> Disque fixe # 186 Go (98 Go libre(s) - 53%) [] # NTFS

    ################## | Éléments infectieux |

    Présent! F:\Warcraft III.lnk

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoChangeStartMenu
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoTrayContextMenu

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{1b23220e-15fd-11dc-97e5-0040f4cab791}
    Shell\AutoRun\Command = RavMon.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{27dad96a-6a4c-11de-9b88-0040f4cab791}
    Shell\AutoRun\Command = WD_Windows_Tools\Setup.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{2c9f4554-58ff-11dc-9812-0040f4cab791}
    Shell\Auto\Command = AdobeR.exe e
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

    HKCU\.\.\.\.\Explorer\MountPoints2\{7bff8db4-df12-11db-9742-0040f4cab791}
    Shell\AutoRun\Command = H:\RavMon.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{e633734a-ed30-11db-975d-0040f4cab791}
    Shell\AutoRun\Command = H:\Autorun.exe /run
    Shell\Shell00\Command = H:\Autorun.exe /run
    Shell\Shell01\Command = H:\Autorun.exe /action
    Shell\Shell02\Command = H:\Autorun.exe /uninstall

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Relance AD-Remover et choisis "désinstaller"

    Ensuite on va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      J'ai désinstallé Ad-Remover, et lancé suppresion sur USBFix.
      Il a progressé, effacé le bureau, puis arrivé à 100% le bureau a réapparu mais l'odinateur n'a pas redémarré. Depuis il ne se passe rien, et je ne vois pas de rapport.
      Faut-il que je redémarre manuellement ?
      Que je retente la même démarche ?

      Je n'ai pas vraiment "désactiver Avast" avant de lancer USBFix, peut-etre que c'est ca qui l'empeche de tourner correctement ?
      0
    2. Caligula78 Messages postés 73 Statut Membre 1
       
      Autant pour moi, il vient de me donner le rapport :

      ############################## | UsbFix 7.041 | [Suppression]

      Utilisateur: Famille Noyer (Administrateur) # NOYER [ ]
      Mis à jour le 24/02/2011 par TeamXscript
      Lancé à 13:59:13 | 05/03/2011
      Site Web: http://www.teamxscript.org
      Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
      Contact: TeamXscript.ElDesaparecido@gmail.com

      CPU: AMD Athlon(tm) Processor
      Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
      Internet Explorer 7.0.5730.13

      Pare-feu Windows: Activé
      Antivirus: avast! Antivirus 5.0.83952505 [Enabled | Updated]
      RAM -> 511 Mo
      C:\ (%systemdrive%) -> Disque fixe # 76 Go (28 Go libre(s) - 36%) [Nouveau nom] # NTFS
      D:\ -> Disque fixe # 4 Go (622 Mo libre(s) - 16%) [WIN98] # FAT32
      E:\ -> Disque fixe # 4 Go (2 Go libre(s) - 61%) [WIN2000] # NTFS
      F:\ -> Disque fixe # 29 Go (8 Go libre(s) - 26%) [FICHIERS] # NTFS
      G:\ -> CD-ROM
      H:\ -> Disque fixe # 186 Go (98 Go libre(s) - 53%) [] # NTFS

      ################## | Éléments infectieux |


      Supprimé! F:\Warcraft III.lnk
      Supprimé! C:\Recycler\S-1-5-21-1085031214-1580436667-682003330-1003
      Supprimé! C:\Recycler\S-1-5-21-3660976526-4087614882-1164476330-1005
      Supprimé! E:\Recycler\S-1-5-21-1085031214-1580436667-682003330-1003
      Supprimé! E:\Recycler\S-1-5-21-1123561945-583907252-725345543-500
      Supprimé! E:\Recycler\S-1-5-21-1482476501-179605362-682003330-1003
      Supprimé! E:\Recycler\S-1-5-21-507921405-1682526488-682003330-1004
      Supprimé! F:\Recycler\S-1-5-21-1085031214-1580436667-682003330-1003
      Supprimé! F:\Recycler\S-1-5-21-1123561945-583907252-725345543-500
      Supprimé! F:\Recycler\S-1-5-21-1482476501-179605362-682003330-1003
      Supprimé! F:\Recycler\S-1-5-21-507921405-1682526488-682003330-1004
      Supprimé! H:\Recycler\S-1-5-21-1085031214-1580436667-682003330-1003

      ################## | Registre |

      Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoChangeStartMenu
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoTrayContextMenu

      ################## | Mountpoints2 |

      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1b23220e-15fd-11dc-97e5-0040f4cab791}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{27dad96a-6a4c-11de-9b88-0040f4cab791}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2c9f4554-58ff-11dc-9812-0040f4cab791}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7bff8db4-df12-11db-9742-0040f4cab791}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e633734a-ed30-11db-975d-0040f4cab791}

      ################## | Listing |

      [19/03/2007 - 17:25:45 | N | 0] C:\AUTOEXEC.BAT
      [20/03/2007 - 08:05:12 | N | 212] C:\boot.ini
      [30/08/2002 - 08:00:00 | N | 4952] C:\Bootfont.bin
      [26/01/2008 - 15:42:02 | D ] C:\coktel
      [19/03/2007 - 17:25:45 | N | 0] C:\CONFIG.SYS
      [26/08/2007 - 11:57:44 | D ] C:\Documents and Settings
      [20/03/2007 - 11:45:44 | D ] C:\Driver Carte Audio
      [04/03/2011 - 16:21:24 | N | 1228854] C:\fsqwr.bmp
      [05/03/2011 - 09:58:36 | ASH | 536399872] C:\hiberfil.sys
      [19/03/2007 - 17:25:45 | N | 0] C:\IO.SYS
      [19/03/2007 - 17:25:45 | N | 0] C:\MSDOS.SYS
      [11/09/2007 - 13:56:44 | N | 0] C:\N2PActiveX.log
      [11/09/2007 - 13:56:49 | N | 28317] C:\N2pInst.log
      [11/09/2007 - 13:55:48 | N | 1236] C:\N2PSelfExtractor.log
      [20/03/2007 - 07:57:48 | N | 47564] C:\NTDETECT.COM
      [20/03/2007 - 07:57:47 | N | 251712] C:\ntldr
      [05/03/2011 - 09:58:34 | ASH | 805306368] C:\pagefile.sys
      [05/03/2011 - 07:27:23 | N | 512] C:\PhysicalDisk0_MBR.bin
      [05/03/2011 - 13:58:08 | D ] C:\Program Files
      [05/03/2011 - 14:03:36 | SHD ] C:\RECYCLER
      [10/10/2010 - 14:03:17 | D ] C:\spoolerlogs
      [11/09/2009 - 19:35:42 | N | 232] C:\sqmdata00.sqm
      [10/09/2009 - 09:45:20 | N | 232] C:\sqmdata01.sqm
      [10/09/2009 - 13:25:39 | N | 232] C:\sqmdata02.sqm
      [10/09/2009 - 15:33:07 | N | 232] C:\sqmdata03.sqm
      [11/09/2009 - 02:39:56 | N | 232] C:\sqmdata04.sqm
      [11/09/2009 - 08:15:47 | N | 232] C:\sqmdata05.sqm
      [11/09/2009 - 14:25:18 | N | 232] C:\sqmdata06.sqm
      [11/09/2009 - 19:28:47 | N | 232] C:\sqmdata07.sqm
      [11/09/2009 - 19:31:08 | N | 232] C:\sqmdata08.sqm
      [11/09/2009 - 19:31:40 | N | 232] C:\sqmdata09.sqm
      [11/09/2009 - 19:32:55 | N | 232] C:\sqmdata10.sqm
      [11/09/2009 - 19:33:21 | N | 232] C:\sqmdata11.sqm
      [11/09/2009 - 19:33:52 | N | 232] C:\sqmdata12.sqm
      [11/09/2009 - 19:35:54 | N | 232] C:\sqmdata13.sqm
      [11/09/2009 - 19:36:11 | N | 232] C:\sqmdata14.sqm
      [11/09/2009 - 19:37:25 | N | 268] C:\sqmdata15.sqm
      [12/09/2009 - 08:32:13 | N | 232] C:\sqmdata16.sqm
      [12/09/2009 - 08:32:47 | N | 268] C:\sqmdata17.sqm
      [09/09/2009 - 15:45:41 | N | 232] C:\sqmdata18.sqm
      [09/09/2009 - 15:55:32 | N | 232] C:\sqmdata19.sqm
      [11/09/2009 - 19:36:11 | N | 244] C:\sqmnoopt00.sqm
      [10/09/2009 - 15:33:07 | N | 244] C:\sqmnoopt01.sqm
      [11/09/2009 - 02:39:56 | N | 244] C:\sqmnoopt02.sqm
      [11/09/2009 - 08:15:47 | N | 244] C:\sqmnoopt03.sqm
      [11/09/2009 - 14:25:18 | N | 244] C:\sqmnoopt04.sqm
      [11/09/2009 - 19:28:47 | N | 244] C:\sqmnoopt05.sqm
      [11/09/2009 - 19:31:08 | N | 244] C:\sqmnoopt06.sqm
      [11/09/2009 - 19:31:40 | N | 244] C:\sqmnoopt07.sqm
      [11/09/2009 - 19:32:55 | N | 244] C:\sqmnoopt08.sqm
      [11/09/2009 - 19:33:21 | N | 244] C:\sqmnoopt09.sqm
      [11/09/2009 - 19:33:52 | N | 244] C:\sqmnoopt10.sqm
      [11/09/2009 - 19:35:42 | N | 244] C:\sqmnoopt11.sqm
      [11/09/2009 - 19:35:54 | N | 244] C:\sqmnoopt12.sqm
      [11/09/2009 - 19:37:25 | N | 244] C:\sqmnoopt13.sqm
      [12/09/2009 - 08:32:13 | N | 244] C:\sqmnoopt14.sqm
      [12/09/2009 - 08:32:47 | N | 244] C:\sqmnoopt15.sqm
      [09/09/2009 - 15:45:41 | N | 244] C:\sqmnoopt16.sqm
      [09/09/2009 - 15:55:32 | N | 244] C:\sqmnoopt17.sqm
      [10/09/2009 - 09:45:20 | N | 244] C:\sqmnoopt18.sqm
      [10/09/2009 - 13:25:39 | N | 244] C:\sqmnoopt19.sqm
      [19/03/2007 - 17:30:04 | SHD ] C:\System Volume Information
      [11/09/2007 - 13:55:51 | D ] C:\temp
      [05/03/2011 - 14:03:36 | D ] C:\UsbFix
      [05/03/2011 - 14:03:49 | A | 2619] C:\UsbFix.txt
      [02/11/2009 - 06:33:50 | D ] C:\watcom-1.3
      [04/03/2011 - 16:22:57 | D ] C:\WINDOWS
      [13/07/2002 - 20:17:38 | N | 46384] D:\BOOTLOG.TXT
      [05/05/1999 - 22:22:00 | N | 95874] D:\COMMAND.COM
      [13/07/2002 - 20:05:18 | N | 130] D:\AUTOEXEC.BAT
      [13/07/2002 - 20:00:32 | N | 1086] D:\FRUNLOG.TXT
      [13/07/2002 - 19:53:06 | N | 22] D:\MSDOS.---
      [13/07/2002 - 20:04:16 | N | 109540] D:\SETUPLOG.TXT
      [13/07/2002 - 19:53:22 | D ] D:\WIN98
      [13/07/2002 - 20:04:16 | N | 3161] D:\NETLOG.TXT
      [27/02/2003 - 21:42:18 | N | 124] D:\CONFIG.SYS
      [13/07/2002 - 20:24:18 | SHD ] D:\RECYCLED
      [13/07/2002 - 19:58:18 | N | 5166] D:\SUHDLOG.DAT
      [13/07/2002 - 20:02:36 | N | 1672] D:\MSDOS.SYS
      [13/11/2004 - 19:19:58 | N | 75151] D:\DETLOG.TXT
      [13/07/2002 - 20:04:48 | N | 43811] D:\BOOTLOG.PRV
      [13/07/2002 - 19:58:18 | N | 589856] D:\SYSTEM.1ST
      [05/05/1999 - 22:22:00 | N | 222390] D:\IO.SYS
      [13/07/2002 - 20:17:12 | D ] D:\Mes documents
      [13/07/2002 - 19:53:24 | D ] D:\Program Files
      [15/01/2002 - 14:45:02 | D ] D:\cdindy
      [12/02/2002 - 20:18:34 | D ] D:\GEN5
      [29/11/2001 - 22:22:48 | D ] D:\3dfx
      [20/11/2005 - 20:09:30 | N | 91648] D:\INTERVENTION.sd.3.doc
      [03/03/2002 - 22:18:00 | D ] D:\SIERRA
      [14/05/2006 - 21:03:38 | N | 46592] D:\INTERVENTION.haiti.doc
      [13/07/2002 - 20:44:26 | N | 512] D:\bootsect.dos
      [20/10/2007 - 09:24:06 | D ] D:\TEMP
      [26/01/2002 - 13:44:50 | D ] D:\Acrobat3
      [20/04/2006 - 11:49:08 | N | 15269] D:\SCANDISK.LOG
      [30/03/2005 - 12:26:46 | N | 216] D:\DebugTrace-ROCKALLDLL.log
      [21/01/2004 - 02:15:20 | N | 0] D:\AILog.txt
      [02/12/2001 - 21:56:08 | D ] D:\01COMM32
      [15/07/2002 - 20:27:36 | D ] D:\modele
      [23/05/2006 - 21:38:52 | N | 10240] D:\lettre MARCO 0606.doc
      [24/03/2003 - 17:20:08 | D ] D:\COKTEL
      [29/11/2003 - 19:51:24 | D ] D:\GALSWIN
      [03/12/2003 - 00:04:26 | D ] D:\Windows
      [19/02/2004 - 04:21:28 | D ] D:\XCHESS
      [13/07/2002 - 20:01:58 | N | 71179] D:\DETLOG.OLD
      [08/03/2004 - 22:43:40 | D ] D:\DeusEx
      [13/11/2004 - 19:26:24 | D ] D:\OOL
      [22/05/2006 - 09:20:24 | N | 9728] D:\jugement aud 150606 jaf.doc
      [13/11/2004 - 18:37:14 | D ] D:\msdownld.tmp
      [11/03/2007 - 14:27:56 | D ] D:\Docs WP 11_03_07
      [26/08/2005 - 21:49:26 | SHD ] D:\System Volume Information
      [05/08/2004 - 12:00:00 | N | 4952] D:\Bootfont.bin
      [05/08/2004 - 12:00:00 | N | 251712] D:\ntldr
      [05/08/2004 - 12:00:00 | N | 47564] D:\NTDETECT.COM
      [27/08/2005 - 18:59:54 | N | 336] D:\boot.ini
      [13/07/2002 - 15:13:15 | AD ] E:\Documents and Settings
      [02/12/2001 - 18:35:38 | D ] E:\MODEM
      [13/11/2004 - 13:37:05 | D ] E:\OOL
      [13/11/2004 - 13:42:31 | D ] E:\Program Files
      [05/03/2011 - 14:03:36 | SHD ] E:\RECYCLER
      [02/09/2005 - 15:50:20 | SHD ] E:\System Volume Information
      [02/03/2007 - 19:54:15 | D ] E:\WINNT
      [19/01/2002 - 03:18:26 | N | 733205136] F:\AMELIE_POULAIN.AVI
      [29/06/2001 - 08:33:12 | N | 653963264] F:\Bienvenue à Gattaca divx francais.avi
      [22/11/2000 - 20:15:44 | N | 663547904] F:\chicken run.avi
      [09/02/2001 - 00:50:20 | N | 727623680] F:\Dinosaure.avi
      [09/11/2005 - 22:19:07 | D ] F:\Documents and Settings
      [21/03/2007 - 07:39:46 | D ] F:\Driver Carte Audio
      [05/01/2007 - 09:59:04 | N | 1027173] F:\DSCN1706.JPG
      [04/06/2001 - 11:39:34 | N | 670195712] F:\Erin Brockovich.avi
      [11/11/2006 - 19:50:46 | N | 0] F:\err.log
      [27/02/2007 - 21:41:00 | D ] F:\films des parents
      [22/11/2001 - 13:18:30 | N | 733593840] F:\harry potter 1.mpg
      [20/05/2006 - 09:37:25 | ASH | 536399872] F:\hiberfil.sys
      [05/07/2001 - 06:54:32 | N | 720764928] F:\La verite si je ments 2 ( Divx - Francais ).avi
      [23/10/2001 - 07:50:16 | N | 728426496] F:\LAnneeDesGuignolsJePeuxDire.avi
      [03/07/2009 - 18:31:07 | D ] F:\marc
      [18/09/2005 - 17:19:05 | D ] F:\OOL
      [06/12/2001 - 08:10:42 | N | 597275136] F:\Peter Pan.avi
      [26/12/2005 - 14:32:20 | D ] F:\Program Files
      [05/12/2001 - 03:08:52 | D ] F:\Recycled
      [05/03/2011 - 14:03:36 | SHD ] F:\RECYCLER
      [25/01/2002 - 00:01:44 | N | 719169536] F:\seigneur des anneaux cd1.avi
      [25/01/2002 - 02:34:04 | N | 716521472] F:\seigneur des anneaux cd2.avi
      [19/09/2001 - 13:09:46 | N | 735295488] F:\Shrek.avi
      [02/01/2001 - 01:57:50 | N | 425515008] F:\Sixieme sens.avi
      [02/01/2002 - 14:39:18 | N | 703036058] F:\Snatch.avi
      [27/08/2005 - 13:09:16 | SHD ] F:\System Volume Information
      [27/02/2007 - 21:40:57 | ASH | 8192] F:\Thumbs.db
      [12/08/2001 - 09:30:30 | N | 678907420] F:\Toy Story 2.avi
      [20/03/2007 - 11:54:48 | N | 1090] F:\Try Mastermind from DivX.lnk
      [17/10/2000 - 16:37:34 | N | 648124416] F:\u571.avi
      [13/05/2000 - 15:16:42 | N | 571895808] F:\vertical limit1.avi
      [13/05/2000 - 16:31:08 | N | 546744320] F:\vertical limit2.avi
      [01/12/2001 - 19:46:52 | N | 296231834] F:\WIN98.GHO
      [19/03/2007 - 15:36:31 | D ] F:\WINDOWS
      [25/01/2009 - 14:38:46 | D ] H:\100NIKON
      [25/01/2009 - 14:41:45 | D ] H:\106NIKON
      [25/01/2009 - 14:44:00 | D ] H:\107NIKON
      [25/01/2009 - 14:46:13 | D ] H:\108NIKON
      [25/01/2009 - 14:31:52 | D ] H:\Egypte
      [04/03/2011 - 15:53:40 | D ] H:\Mes documents
      [24/04/2009 - 17:52:21 | D ] H:\Musique Aurélien
      [25/01/2009 - 15:37:42 | D ] H:\musique ipod
      [25/01/2009 - 14:40:54 | D ] H:\photos rallye Alex
      [25/01/2009 - 14:31:04 | D ] H:\QuickCam
      [05/03/2011 - 14:03:36 | SHD ] H:\RECYCLER
      [03/03/2011 - 16:53:13 | SHD ] H:\System Volume Information
      [24/04/2009 - 17:46:52 | D ] H:\Warcraft III

      ################## | Vaccin |

      C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

      ################## | E.O.F |



      En revanche il n'a rien proposé d'envoyer...
      0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On va faire un scan généraliste pour vérification.

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      Ok merci beaucoup, je l'ai mis à jour (j'avais déjà téléchargé Malwarebytes au cours d'une étape précédente) et j'ai relancé un examen complet. Le dernier ayant pris 2h40, je ne répondrais pas tout de suite dans la soirée je pense ^^
      0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Laisse tomber le scan avec MBAM. C'est vrai on l'a déjà fait en début.
    refais un scan ZHPDiag et poste le rapport via cijoint

    Smart
    0
  18. bbnaute
     
    Merci !
    Voici les deux rapports

    RogueKiller V4.1.0 par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: VISTA [Droits d'admin]
    Mode: Suppression -- Date : 05/03/2011 18:49:51

    Processus malicieux: 1
    [APPDT/TMP/DESKTOP] RogueKiller[1].exe -- c:\users\vista\appdata\local\microsoft\windows\temporary internet files\content.ie5\lw434uo0\roguekiller[1].exe -> KILLED

    Entrees de registre: 1
    [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : iOiAcBi16635 (C:\ProgramData\iOiAcBi16635\iOiAcBi16635.exe) -> DELETED

    Fichier HOSTS:
    127.0.0.1 3dns-3.adobe.com
    127.0.0.1 3dns-2.adobe.com
    127.0.0.1 activate.adobe.com
    127.0.0.1 activate.adobe.com:443
    127.0.0.1 activate-sea.adobe.com
    127.0.0.1 activate-sjc0.adobe.com
    127.0.0.1 activate.wip3.adobe.com
    127.0.0.1 192.150.18.108
    127.0.0.1 adobeereg.com
    127.0.0.1 adobe-dns.adobe.com
    127.0.0.1 adobe-dns-2.adobe.com
    127.0.0.1 adobe-dns-3.adobe.com
    127.0.0.1 ereg.wip3.adobe.com
    127.0.0.1 ereg.adobe.com
    127.0.0.1 practivate.adobe.com
    127.0.0.1 wip3.adobe.com
    127.0.0.1 wwis-dubc1-vip60.adobe.com
    127.0.0.1 activate.adobe.com

    Termine

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5966

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19019

    05/03/2011 20:53:59
    mbam-log-2011-03-05 (20-53-59).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 369258
    Temps écoulé: 56 minute(s), 38 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\programdata\ioiacbi16635\ioiacbi16635.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\VISTA\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\5BK0S2RS\antispywaresetup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\VISTA\Desktop\rk_quarantine\ioiacbi16635.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Bonjour bbnaute,

      Ceci est une désinfection en cours. Il est très difficile de mener de front deux désinfection je te conseille de créer une nouvelle discussion et de bien préciser ton problème. Un helper prendra en charge ta désinfection

      Smart
      0
    2. Caligula78 Messages postés 73 Statut Membre 1
       
      Scan ZHPDiag :

      http://www.cijoint.fr/cjlink.php?file=cj201103/cijsv5MXsW.txt

      Je tiens à préciser que bbnaute est un autre internaute que moi, ce sont donc deux problèmes complètement distincts.

      Merci beaucoup en tout cas Smart pour ton soutien permanent =)
      0
  19. gen-hackman
     
    c'est impressionnant le nombre de sans genes qui se croient tout permis et tout acquis !! faut pas leur en vouloir ceci n'est que le reflet de leur savoir-vivre :)
    0
  20. Caligula78 Messages postés 73 Statut Membre 1
     
    Je suis en train d'effectuer les mises à jours là.

    Ai-je interet à activer les mises à jour automatiques de Windows ?

    Et ensuite dans ton post précédent tu avais parlé de suppression puis vaccination, et il ne me semble pas avoir fait de vaccination. Je ne veux pas critiquer ou quoi que ce soit, c'est juste pour savoir si c'est voulu ou si c'est un oubli.

    En tout cas merci beaucoup, je suis en train de tout mettre à jour là =)
    0
    1. Caligula78 Messages postés 73 Statut Membre 1
       
      Pour passer au SP3, le site m'affiche :

      Les paramètres de stratégie réseau vous empêchent d'utiliser ce site Web pour obtenir les mises à jour destinées à votre ordinateur.

      Si vous pensez que ce message vous a été envoyé par erreur, contactez votre administrateur système.


      Et en haut à droite il y a : [Numéro d'erreur : 0x8DDD0003]

      Après comme je l'ai dit, les mises à jour de windows sont désactivées sur cet ordinateur, peut-etre faut-il que je les active ?
      0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    La vaccination a téét faite ==>
    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)


    Active les mises à jour de Windows et passe par IE

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  • 1
  • 2