Trojan Win32 qui efface tout
cora31
-
cora31 -
cora31 -
Bonjour,
Mes parents ont attrapé un virus sur leur ordi en téléchargeant apparemment.
Ce virus a planté l'ordi et a effacé tout ce qu'ils avaient, l'imprimante est a reconfigurer car elle était branchée...
Ce sont des novices en plus et je suis à distance pour les aider donc pas évident.
Ils ont windows XP et avast comme antivirus. Ils utilisent Firefox pour leur navigation internet.
Je leur ai demandé de faire un scan, c'est le virus win32skiMorph-b (cryp) qui a été détecté. Une réparation est impossible car le fichier est devenu "introuvable".
J'aimerai me débrouiller seule pour les aider mais j'ai lu les posts et les réponses varient selon les rapports émis par l'outil scan.
Est ce que vous pouvez m'aider à déchiffrer les rapports ? Ou bien me donner une autre solution ?
Faut-il qu'ils téléchargent Navilog1 choix 2.... comme dans les autres posts ?
Je leur ai dit de déconnecter internet.
Merci.
Mes parents ont attrapé un virus sur leur ordi en téléchargeant apparemment.
Ce virus a planté l'ordi et a effacé tout ce qu'ils avaient, l'imprimante est a reconfigurer car elle était branchée...
Ce sont des novices en plus et je suis à distance pour les aider donc pas évident.
Ils ont windows XP et avast comme antivirus. Ils utilisent Firefox pour leur navigation internet.
Je leur ai demandé de faire un scan, c'est le virus win32skiMorph-b (cryp) qui a été détecté. Une réparation est impossible car le fichier est devenu "introuvable".
J'aimerai me débrouiller seule pour les aider mais j'ai lu les posts et les réponses varient selon les rapports émis par l'outil scan.
Est ce que vous pouvez m'aider à déchiffrer les rapports ? Ou bien me donner une autre solution ?
Faut-il qu'ils téléchargent Navilog1 choix 2.... comme dans les autres posts ?
Je leur ai dit de déconnecter internet.
Merci.
A voir également:
- Trojan Win32 qui efface tout
- Comment recuperer un message effacé sur whatsapp - Guide
- Récupérer un numéro de téléphone effacé - Accueil - Android
- Effacer tout - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Message effacé whatsapp - Guide
39 réponses
rien !
Je leur ai demandé de faire un scan, c'est le virus win32skiMorph-b (cryp) qui a été détecté. Une réparation est impossible car le fichier est devenu "introuvable"
as tu un rapport de ca ou bien le nom et le chemin du fichier concerné
Je leur ai demandé de faire un scan, c'est le virus win32skiMorph-b (cryp) qui a été détecté. Une réparation est impossible car le fichier est devenu "introuvable"
as tu un rapport de ca ou bien le nom et le chemin du fichier concerné
Le fichier infecté est le suivant :
C:\documents and setting\hp administrateur\local settings\application data\etkhxgdb.exe est infecté par WIN32:SKiMorph-B(Cryp).
C:\documents and setting\hp administrateur\local settings\application data\etkhxgdb.exe est infecté par WIN32:SKiMorph-B(Cryp).
il faudrait télécharge navilog1 sur le bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Certaines infections bloquent les téléchargements d' outils de désinfection utilisez ce lien alternatif:
http://ww38.toofiles.com/fr/oip/documents/exe/yop3.html
/!\ Utilisateur de VISTA: il faudrait désactiver l'UAC juste le temps de désinfection de votre pc, Vous le réactiverez plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
1°Double-clique sur navilog1.exe présent sur ton bureau
2°Sélectionnez la langue désirée dans le menu puis valide le choix par la touche « entrer »
3°Petit message d'avertissement, appuyez sur une touche pour passe à la suite
4°un nouveau avertissement, appuie sur une touche pour suivre
5°Vérification de l'installation de Navilog1 : si tout est bon, appuyez sur une touche pour continuer
6°Choisir option 1 : recherche/désinfection automatique
7°La recherche va se lancer automatiquement et peut durée quelques minutes, patientez
8°Une fois l'analyse terminé, fermez et enregistrez votre travail en cours, puis appuiez sur une touche pour que votre pc puisse démarrer
9°Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patientez quelques instants.
Un rapport est gèneré par l'outil. Il se trouve à cette emplacement :
XP : demarrer/poste de travail/c:/cleannavi.txt
Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt
postes le ici stp
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Certaines infections bloquent les téléchargements d' outils de désinfection utilisez ce lien alternatif:
http://ww38.toofiles.com/fr/oip/documents/exe/yop3.html
/!\ Utilisateur de VISTA: il faudrait désactiver l'UAC juste le temps de désinfection de votre pc, Vous le réactiverez plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
1°Double-clique sur navilog1.exe présent sur ton bureau
2°Sélectionnez la langue désirée dans le menu puis valide le choix par la touche « entrer »
3°Petit message d'avertissement, appuyez sur une touche pour passe à la suite
4°un nouveau avertissement, appuie sur une touche pour suivre
5°Vérification de l'installation de Navilog1 : si tout est bon, appuyez sur une touche pour continuer
6°Choisir option 1 : recherche/désinfection automatique
7°La recherche va se lancer automatiquement et peut durée quelques minutes, patientez
8°Une fois l'analyse terminé, fermez et enregistrez votre travail en cours, puis appuiez sur une touche pour que votre pc puisse démarrer
9°Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patientez quelques instants.
Un rapport est gèneré par l'outil. Il se trouve à cette emplacement :
XP : demarrer/poste de travail/c:/cleannavi.txt
Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt
postes le ici stp
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport :
Fix Navipromo version 4.0.9 commencÈ le 18/03/2011 23:37:29,82
!!! Attention,ce rapport peut indiquer des fichiers/programmes lÈgitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exÈcutÈ depuis C:\navilog1
Mise # jour le 24.11.2010 # 16h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : BIOS Date: 06/22/2006 Ver: 08.00.12
USER : Administrateur ( Administrator )
BOOT : Normal boot
Antivirus : avast! Antivirus 5.0.100664296 (Activated)
C:\ (Local Disk) - NTFS - Total:226 Go (Free:92 Go)
D:\ (Local Disk) - FAT32 - Total:6 Go (Free:0 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
Recherche executÈe en mode normal
[b]Aucune Infection Navipromo/Egdaccess trouvÈe/b
*** Scan terminÈ 18/03/2011 23:37:54,71 ***
Fix Navipromo version 4.0.9 commencÈ le 18/03/2011 23:37:29,82
!!! Attention,ce rapport peut indiquer des fichiers/programmes lÈgitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exÈcutÈ depuis C:\navilog1
Mise # jour le 24.11.2010 # 16h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : BIOS Date: 06/22/2006 Ver: 08.00.12
USER : Administrateur ( Administrator )
BOOT : Normal boot
Antivirus : avast! Antivirus 5.0.100664296 (Activated)
C:\ (Local Disk) - NTFS - Total:226 Go (Free:92 Go)
D:\ (Local Disk) - FAT32 - Total:6 Go (Free:0 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
Recherche executÈe en mode normal
[b]Aucune Infection Navipromo/Egdaccess trouvÈe/b
*** Scan terminÈ 18/03/2011 23:37:54,71 ***
et bien toutes leurs données ont été effacées (photos, vidéos...). Et Avast détecte toujours le virus. L'imprimante est à réinstaller, les logiciels ont été effacés aussi.
Il y aurait-il un moyen de vérifier où sont passées leurs données ?
Il y aurait-il un moyen de vérifier où sont passées leurs données ?
Télécharge OTL de OLDTimer
http://oldtimer.geekstogo.com/OTL.scr
enregistre le sur ton Bureau.
Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.
* Sous Custom Scan box copie_colle le contenu en gras ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s
* clic Run Scan pour démarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine réponse
NE LE POSTE PAS SUR LE FORUM
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport
Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message
Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
http://oldtimer.geekstogo.com/OTL.scr
enregistre le sur ton Bureau.
Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.
* Sous Custom Scan box copie_colle le contenu en gras ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s
* clic Run Scan pour démarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine réponse
NE LE POSTE PAS SUR LE FORUM
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport
Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message
Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Bonjour,
je reviens sur le sujet... maintenant que je suis devant l'ordi !
Alors, le problème étrange c'est que le windows xp family s'est transformé en windows xp media center apparemment...
Il n'y a qu'un seul compte administrateur disponible dans le panneau de configuration mais pourtant lorsque je vais dans c:/documents and settings, il y a en tout et pour tout 3 administrateurs....
2 HP administrateurs dont l'un est celui où sont tous les fichiers de mes parents et un autre nommé administrateur qui est celui utilisé actuellement.
Pourquoi HP ? Tout simplement parce que l'ordinateur est un Hewlett Packard.
Donc je me viens à me poser la question, comment un tel changement a-t-il pu se produire ??? une mise à jour windows ? l'installation de Silverlight ?
est-il possible de faire fusionner les comptes utilisateurs administrateurs pour n'en avoir plus qu'un ? ou de rendre actif celui qui était utilisé auparavant ?
merci de votre patience.
je reviens sur le sujet... maintenant que je suis devant l'ordi !
Alors, le problème étrange c'est que le windows xp family s'est transformé en windows xp media center apparemment...
Il n'y a qu'un seul compte administrateur disponible dans le panneau de configuration mais pourtant lorsque je vais dans c:/documents and settings, il y a en tout et pour tout 3 administrateurs....
2 HP administrateurs dont l'un est celui où sont tous les fichiers de mes parents et un autre nommé administrateur qui est celui utilisé actuellement.
Pourquoi HP ? Tout simplement parce que l'ordinateur est un Hewlett Packard.
Donc je me viens à me poser la question, comment un tel changement a-t-il pu se produire ??? une mise à jour windows ? l'installation de Silverlight ?
est-il possible de faire fusionner les comptes utilisateurs administrateurs pour n'en avoir plus qu'un ? ou de rendre actif celui qui était utilisé auparavant ?
merci de votre patience.
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
Apparemment il n'a rien trouvé, voici le rapport :
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 05/04/2011 01:12:24
Processus malicieux: 0
Entrees de registre: 0
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 05/04/2011 01:12:24
Processus malicieux: 0
Entrees de registre: 0
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Voici le rapport avec l'option 6 :
Il m'a demandé plusiquers fois pour plusieurs lecteurs (des ports usb) j'ai fait annuler l'opération pour ces derniers car rien n'y est branché.
RogueKiller V4.3.7 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 05/04/2011 01:18:15
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 7 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 79 / Fail 4
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Il m'a demandé plusiquers fois pour plusieurs lecteurs (des ports usb) j'ai fait annuler l'opération pour ces derniers car rien n'y est branché.
RogueKiller V4.3.7 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 05/04/2011 01:18:15
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 7 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 79 / Fail 4
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 7 / Fail 0 Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 79 / Fail 4
tu as dû retrouver du monde
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 7 / Fail 0 Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 79 / Fail 4
tu as dû retrouver du monde
ne pas céder...même si le pc a l'air plus touché que les autres
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
Le scanfut très long, j'ai laissé tourné l'ordi et voici le rapport :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤ XP | Vista | Seven - 32/64 ¤
Mis à jour le 05/04/2011 | 00.55 par g3n-h@ckm@n
Utilisateur : Administrateur (Administrateurs)
Ordinateur : FAMILY
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.2180
Mozilla Firefox : 3.6.16 (fr)
Scan : 01:35:05 | 05/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[EapHost] | Start -> Modification apportée : -> 2
[Wlansvc] | Start -> Modification apportée : -> 2
[SharedAccess] | Start -> Aucune modification : 2 -> 2
[windefend] | Start -> Modification apportée : -> 2
[wuauserv] | Start -> Aucune modification : 2 -> 2
[wscsvc] | Start -> Aucune modification : 2 -> 2
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKCU | Main] | Start Page -> Modification apportée : http://r.orange.fr/r/Ohome_accueil?ref=O_toolbar32_hook_defaultPage -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Modification apportée : http://fr.msn.com/ -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[Firefox | Command] | @ -> Aucune modification : C:\Program Files\Mozilla Firefox\firefox.exe -> C:\Program Files\Mozilla Firefox\firefox.exe
[IE | Command] | @ -> Modification apportée : "C:\Program Files\Internet Explorer\iexplore.exe" -> C:\Program Files\Internet Explorer\iexplore.exe
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
arservice.exe -> Processus stoppé
RTHDCPL.EXE -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
scanning jobs ...
scanning processes ...
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service wuauserv autorun restored
Service ERSvc autorun restored
restoring show hidden and system files
restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP
scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Administrateur\Application Data ...
scanning C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ...
scanning C:\ ...
scanning D:\ ...
scanning G:\ ...
scanning H:\ ...
scanning I:\ ...
scanning J:\ ...
completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Fin : 11:12:55
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤ XP | Vista | Seven - 32/64 ¤
Mis à jour le 05/04/2011 | 00.55 par g3n-h@ckm@n
Utilisateur : Administrateur (Administrateurs)
Ordinateur : FAMILY
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.2180
Mozilla Firefox : 3.6.16 (fr)
Scan : 01:35:05 | 05/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[EapHost] | Start -> Modification apportée : -> 2
[Wlansvc] | Start -> Modification apportée : -> 2
[SharedAccess] | Start -> Aucune modification : 2 -> 2
[windefend] | Start -> Modification apportée : -> 2
[wuauserv] | Start -> Aucune modification : 2 -> 2
[wscsvc] | Start -> Aucune modification : 2 -> 2
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKCU | Main] | Start Page -> Modification apportée : http://r.orange.fr/r/Ohome_accueil?ref=O_toolbar32_hook_defaultPage -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Modification apportée : http://fr.msn.com/ -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[Firefox | Command] | @ -> Aucune modification : C:\Program Files\Mozilla Firefox\firefox.exe -> C:\Program Files\Mozilla Firefox\firefox.exe
[IE | Command] | @ -> Modification apportée : "C:\Program Files\Internet Explorer\iexplore.exe" -> C:\Program Files\Internet Explorer\iexplore.exe
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
arservice.exe -> Processus stoppé
RTHDCPL.EXE -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
scanning jobs ...
scanning processes ...
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service wuauserv autorun restored
Service ERSvc autorun restored
restoring show hidden and system files
restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP
scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Administrateur\Application Data ...
scanning C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ...
scanning C:\ ...
scanning D:\ ...
scanning G:\ ...
scanning H:\ ...
scanning I:\ ...
scanning J:\ ...
completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Fin : 11:12:55
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)
? Télécharge ici :List_Kill'em
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
et enregistre le sur ton bureau
lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer
enregistre le sur ton bureau et lance l'installation
(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau)
Laisse coché :
=> Executer List_Kill'em
une fois terminée , clic sur "terminer"
choisis l'option Search
=> laisse travailler l'outil
Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan
=> Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt
NE LES POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ces liens dans ta réponse.
? Télécharge ici :List_Kill'em
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
et enregistre le sur ton bureau
lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer
enregistre le sur ton bureau et lance l'installation
(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau)
Laisse coché :
=> Executer List_Kill'em
une fois terminée , clic sur "terminer"
choisis l'option Search
=> laisse travailler l'outil
Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan
=> Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt
NE LES POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ces liens dans ta réponse.
