Virus et Arnaque

Résolu
JREJFB Messages postés 29 Statut Membre -  
JREJFB Messages postés 29 Statut Membre -
Bonjour,
En ouvrant un mail, j'ai attrapé ce virus WINDOWS REMEDY.
Impossible d'ouvrir Mozilla ou Internet Explorer
c'est mon PC fixe qui a planté et je me connecte sur ce forum grâce à un ordi portable que l'on m'a prêté.

Je suis sous windows XP
Que faire ??

Je compte sur vous.
Merci par avance

3 réponses

Résumé de la discussion

Une infection Windows Remedy bloque l’ordinateur sous Windows XP et empêche l’ouverture des navigateurs, ce qui pousse à rechercher des solutions adaptées à ce problème. Plusieurs mesures de dépistage existent, notamment Malwarebytes pour un examen complet et la suppression des menaces, ainsi que Rkill pour bloquer les processus nuisibles et RogueKiller pour nettoyer les restes. En pratique, les rapports indiquent la détection et la mise en quarantaine d’un logiciel malveillant, avec Rogue.Eorezo et Trojan.StartPage comme exemples, justifiant une désinfection complète et la restauration des sauvegardes sûres. Des solutions alternatives comme un live CD antivirus ou des outils bootables (Kaspersky Rescue Disk, OTLPENet) peuvent être envisagées si le démarrage normal est impossible pour compléter la désinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    fais un iso de kaspersky et fait une analyse http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/
    2
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour blizzard64 , tu as raison la soit kaspersky en live cd en suivant ce tuto https://forum.malekal.com/viewtopic.php?t=12133&start=

      ou sinon avec un OTLPE qui permet de démarrer le pc de faire la désinfection voir faire la restauartion système en invite de commande !!

      Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

      * Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven) et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.

      * Patiente le temps de la décompression et de la gravure du CD.

      une fois le cd graver boot sur le pc qui est infecté

      * demarrer sur le cdrom crée de Reatogo , voir exemple: booter-sur-dvd-t9447.html

      * Ton système doit montrer un bureau REATOGO-X-PE http://imagesup.org/image

      * En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.

      * Double-click sur l'icone OTLPE

      * valider par ok: sur la fenêtre runscanner http://imagesup.org/image

      * sur la suivante selectionner sa session: tu chosis rat http://imagesup.org/image

      ** si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:) http://imagesup.org/image

      * verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

      * OTLPE se lançe !! http://imagesup.org/image

      * sous Custom Scan/Fixes copie_colle les lignes en GRAS ci dessous:


      netsvcs
      msconfig
      safebootminimal
      safebootnetwork
      activex
      drivers32
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %SYSTEMDRIVE%\*.exe
      /md5start
      explorer.exe
      userinit.exe
      winlogon.exe
      wininit.exe
      csrss.exe
      smss.exe
      svchost.exe
      services.exe
      spoolsv.exe
      alg.exe
      ctfmon.exe
      eventlog.dll
      scecli.dll
      netlogon.dll
      cngaudit.dll
      sceclt.dll
      ntelogon.dll
      logevent.dll
      iaStor.sys
      nvstor.sys
      atapi.sys
      i8042prt.sys
      cdrom.sys
      disk.sys
      ndis.sys
      tcpip.sys
      imapi.sys
      RDPCDD.sys
      mountmgr.sys
      aec.sys
      rasacd.sys
      redbook.sys
      intelide.sys
      mrxsmb10.sys
      mrxsmb20.sys
      termdd.sys
      mrxsmb.sys
      win32k.sys
      storport.sys
      IdeChnDr.sys
      viasraid.sys
      AGP440.sys
      vaxscsi.sys
      nvatabus.sys
      viamraid.sys
      nvata.sys
      nvgts.sys
      iastorv.sys
      ViPrt.sys
      eNetHook.dll
      ahcix86.sys
      KR10N.sys
      nvstor32.sys
      ahcix86s.sys
      nvrd32.sys
      /md5stop
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\System32\config\*.sav
      CREATERESTOREPOINT



      * clic Run Scan pour demarrer le scan.

      * une fois terminé , le fichier se trouve là C:\OTL.txt

      * postes le rapport par le biais de cijoint car surement trop long pour le forum


      envoie-le sur : http://www.cijoint.fr/index.php ,

      fais parcourir recherche le rapport

      puis sélectionne le rapport en double cliquand dessus

      et puis sur " cliquer ici pour déposer le fichier "

      un lien bleu de cette forme va apparaitre :

      Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.   
      C'est ce même lien que vous devrez transmettre à vos correspondants  
      http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt   
      


      renvoie le lien tout frais dans ta prochaine reponse .



      et si problème passe par celui ci : http://cjoint.com/




      SOURCE DE CELA
      0
    2. JREJFB Messages postés 29 Statut Membre
       
      J'ai téléchargé sur une clé USB le logiciel OTLPE Net, mais mon graveur CD R est sur le PC infecté par le virus, il m'est impossible de pouvoir le transcrire sur le CD R, parce que le virus bloque le processus avant la fin!!!!!!! Désolé de vous rendre fou avec ce virus incroyable; je suis dessus depuis 14h et je craque...
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      tu n'as pas de graveur sur le pc portable ?? !!

      bon on va essayer avec un outil qui est ce qu'il y a de plus puissant , je parle de combofix , mais je te l'ai renommer en jacombo cela pour contrer certaine variante d'infection, tu le passes avec ta clés usb surtout tu déactive bien toutes tes protections anti-virus anti-spyware et autre !! et tu ne touches pas au pc pendant le scan sauf pour répondre quand il te le demande, je te mets la procédure pour XP prends le temps de regarder le tuto !! https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

      Télécharge Combofix.exe de sUBs renommé en jacombo et passes le sur l'autre pc :

      http://sd-1.archive-host.com/membres/up/89820622056365782/jacombo.exe

      Déconnectes toi d'internet et désactives ton antivirus et toutes protection résidente, pour que Combofix puisse s'exécuter normalement.

      Doubles clique sur Combofix.exe " jacombo "

      Mets le en langue française F

      Tape sur la touche 1 (Yes) pour démarrer le scan.

      tu Ne touches à rien tant que le scan n'est pas terminé. sauf pour répondre quand il te le demande !!

      En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


      Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

      Réactives la protection en temps réel de ton Antivirus et de ton Anti-spywares, avant de te reconnecter à Internet.

      Note : Le rapport se trouve également là : C:\Combofix.txt
      0
    4. JREJFB Messages postés 29 Statut Membre
       
      Le scan fonctionne, donc je te remercie déjà pour ton aide précieuse, et je te poste le contenu du rapport dès que je l'ai.
      Mais vu que le scan va prendre peut ëtre dix minutes je ne t'en voudrais pas si on termine demain :-)
      En te remerciant encore une fois....
      0
    5. JREJFB Messages postés 29 Statut Membre
       
      ça a marché après plusieurs heures de manip !!!
      Voici le rapport pour info..
      Un grand merci Jacques ainsi qu'aux 2 autres qui m'avaient aidés.
      Mon PC fonctionne à nouveau grâce à vous :))))

      ComboFix 11-03-15.01 - BUREAU 15/03/2011 23:27:13.1.1 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.284 [GMT 1:00]
      Lancé depuis: K:\jacombo.exe
      AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
      AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
      .
      .
      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\documents and settings\All Users\Application Data\QuestBrwSearch
      c:\documents and settings\All Users\AVP 2009
      c:\documents and settings\BUREAU\Application Data\Microsoft\rqbcca.exe
      c:\documents and settings\BUREAU\Cookies\hpothb07.dat
      c:\documents and settings\BUREAU\Local Settings\Application Data\sbeecho.dat
      c:\documents and settings\BUREAU\Local Settings\Application Data\sbeecho_nav.dat
      c:\documents and settings\BUREAU\Local Settings\Application Data\sbeecho_navps.dat
      c:\documents and settings\BUREAU\Mes documents\DPE.DUS
      c:\program files\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}
      c:\program files\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\chrome.manifest
      c:\program files\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\chrome\questbrowse.jar
      c:\program files\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\defaults\preferences\prefs.js
      c:\program files\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\install.rdf
      c:\program files\QUAD Utilities
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
      c:\program files\QuestBrwSearch
      c:\program files\QuestBrwSearch\uninstall.exe
      .
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2011-02-15 au 2011-03-15 ))))))))))))))))))))))))))))))))))))
      .
      .
      2011-03-15 19:05 . 2011-03-15 19:05 -------- d-sh--w- c:\windows\ftpcache
      .
      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2011-02-11 06:54 . 2009-10-01 07:23 5943120 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
      2011-02-09 13:54 . 2006-03-02 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
      2011-02-09 13:54 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
      2011-02-02 20:40 . 2010-04-26 13:01 472808 ----a-w- c:\windows\system32\deployJava1.dll
      2011-02-02 18:19 . 2008-09-16 09:18 73728 ----a-w- c:\windows\system32\javacpl.cpl
      2011-02-02 07:59 . 2008-09-16 08:47 2067456 ----a-w- c:\windows\system32\mstscax.dll
      2011-01-27 11:57 . 2008-09-16 08:47 677888 ----a-w- c:\windows\system32\mstsc.exe
      2011-01-21 14:44 . 2006-03-02 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
      2011-01-07 14:09 . 2006-03-02 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
      2010-12-31 14:04 . 2006-03-02 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
      2010-12-22 12:34 . 2006-03-02 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll
      2010-12-20 23:53 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
      2010-12-20 23:53 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
      2010-12-20 23:53 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
      2010-12-20 17:26 . 2006-03-02 12:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
      2010-12-20 12:55 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
      .
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}]
      2010-03-24 09:52 221184 ----a-w- c:\program files\Soft2PC\soft2pcBHO.dll
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Google Update"="c:\documents and settings\BUREAU\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-09-24 133104]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-28 39408]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024]
      "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
      "FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2008-03-27 320168]
      "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2009-03-03 107248]
      "soft2PC"="c:\program files\Soft2PC\soft2pc.exe" [2010-06-29 688128]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
      "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
      "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
      "lxdnmon.exe"="c:\program files\Lexmark 2600 Series\lxdnmon.exe" [2010-02-04 660136]
      "lxdnamon"="c:\program files\Lexmark 2600 Series\lxdnamon.exe" [2010-02-04 16040]
      "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
      .
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
      "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 0 (0x0)
      "ConsentPromptBehaviorUser"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
      @="Service"
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
      "c:\\Program Files\\Lexmark 2600 Series\\frun.exe"=
      "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
      "c:\\Program Files\\Orange\\OrangeUpdate\\Service\\OUCore.exe"=
      "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
      "c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=
      "c:\\WINDOWS\\system32\\lxdncoms.exe"=
      "c:\\Program Files\\Lexmark 2600 Series\\lxdnmon.exe"=
      "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnpswx.exe"=
      "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdntime.exe"=
      "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnjswx.exe"=
      "c:\\Program Files\\Lexmark 2600 Series\\Diagnostics\\LXDNdiag.exe"=
      "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnwbgw.exe"=
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
      .
      R2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?]
      S1 MpKsl9d03fbe8;MpKsl9d03fbe8;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{862FD82B-8391-4594-BE86-00CE5C2939D0}\MpKsl9d03fbe8.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{862FD82B-8391-4594-BE86-00CE5C2939D0}\MpKsl9d03fbe8.sys [?]
      S1 MpKslafdaf441;MpKslafdaf441;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{862FD82B-8391-4594-BE86-00CE5C2939D0}\MpKslafdaf441.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{862FD82B-8391-4594-BE86-00CE5C2939D0}\MpKslafdaf441.sys [?]
      S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 10:51 135664]
      S2 lxdnCATSCustConnectService;lxdnCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdnserv.exe [26/01/2011 16:13 94208]
      S2 Orange update Core Service;Orange update Core Service;c:\program files\Orange\OrangeUpdate\Service\OUCore.exe [14/06/2010 13:39 1053424]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://r.orange.fr/r/Ohome_accueil?ref=O_OI_defaultPage
      uInternet Connection Wizard,ShellNext = iexplore
      uInternet Settings,ProxyOverride = <local>
      uSearchAssistant = hxxp://www.aliceadsl.fr
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: ajouter cette page à vos favoris Orange - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
      IE: envoyer le texte sélectionné par sms - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
      IE: envoyer par sms - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\sendsms_html\sendsms.html
      IE: envoyer un mail - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\sendmail_html\sendmail.html
      IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
      IE: orange.fr - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\orange_html\orange.html
      IE: rechercher le texte sélectionné - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
      IE: traduire la page - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\translate_html\translate.html
      IE: traduire le texte sélectionné - c:\documents and settings\BUREAU\Application Data\Orange\OrangeInside\src\translateSelectedText_html\translateSelectedText.html
      DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
      FF - ProfilePath - c:\documents and settings\BUREAU\Application Data\Mozilla\Firefox\Profiles\ujl0yrzv.default\
      FF - prefs.js: browser.search.selectedEngine - Orange
      FF - prefs.js: browser.startup.homepage - hxxp://r.orange.fr/r/Ohome_accueil?ref=O_OI_defaultPage
      FF - prefs.js: keyword.URL - hxxp://rws.search.ke.voila.fr/RW/S/opensearch_orange?rdata=
      FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
      FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
      FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
      FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
      FF - Ext: Toolbar Iadah: toolbar@iadah.com - c:\program files\Mozilla Firefox\extensions\toolbar@iadah.com
      FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
      FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
      FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
      FF - Ext: barred'outils Orange: {E6768F2A-D4C3-457D-A1A8-3472BF16267D} - c:\program files\Orange\ToolbarFR\FirefoxContainer
      FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
      FF - user.js: yahoo.homepage.dontask - true
      FF - user.js: browser.startup.homepage - hxxp://r.orange.fr/r/Ohome_accueil?ref=O_OI_defaultPage
      FF - user.js: browser.search.selectedEngine - Orange
      FF - user.js: keyword.URL - hxxp://rws.search.ke.voila.fr/RW/S/opensearch_orange?rdata=
      .
      - - - - ORPHELINS SUPPRIMES - - - -
      .
      Toolbar-{66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
      Toolbar-Locked - (no file)
      WebBrowser-{7741B272-20A0-7739-FFFF-FFFF64213A77} - (no file)
      HKCU-Run-MsnMsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
      HKCU-Run-RegistryDoktorFrNET - c:\program files\Registry_Doktor 4.1\RegistryDoktor.exe
      HKCU-Run-RegistryBooster - c:\program files\Uniblue\RegistryBooster\launcher.exe
      AddRemove-QuestBrowse - c:\program files\QuestBrwSearch\uninstall.exe
      .
      .
      .
      **************************************************************************
      .
      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2011-03-15 23:31
      Windows 5.1.2600 Service Pack 3 NTFS
      .
      Recherche de processus cachés ...
      .
      Recherche d'éléments en démarrage automatique cachés ...
      .
      Recherche de fichiers cachés ...
      .
      Scan terminé avec succès
      Fichiers cachés: 0
      .
      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------
      .
      [HKEY_USERS\S-1-5-21-1757981266-2077806209-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
      @Allowed: (Read) (RestrictedCode)
      @Allowed: (Read) (RestrictedCode)
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
      @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker4"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      Heure de fin: 2011-03-15 23:34:48
      ComboFix-quarantined-files.txt 2011-03-15 22:34
      .
      Avant-CF: 135 356 710 912 octets libres
      Après-CF: 139 583 184 896 octets libres
      .
      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      UnsupportedDebug="do not select this" /debug
      multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
      .
      - - End Of File - - 9770CED0B95AC1D6D82ED3B425B2F01F
      0
  2. Utilisateur anonyme
     
    Comment savez-vous que c'est Windows Remedy ?
    0
    1. JREJFB Messages postés 29 Statut Membre
       
      Merci pour votre réponse.
      Parce que Windows Remedy apparait sur ma fenêtre de mon écran sans cesse et il est installé sur la barre des taches.
      Désolé pour mes commentaires mais je suis un vrai novice en informatique !!
      0
    2. JREJFB Messages postés 29 Statut Membre
       
      Merci Malekal pour votre réponse.

      c'est un rogue ok mais, il n'y a pas plus simple comme démarche ??
      Merci d'avance
      0
    3. JREJFB Messages postés 29 Statut Membre
       
      il est impossible de me connecter, alors comment télécharger ce logiciel ??
      0
    4. JREJFB Messages postés 29 Statut Membre
       
      J'ai débranché mon PC mais le virus est malheureusement toujours la !!
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Je laisse ma place, si qq1 veux prendre le sujet.
    0
    1. JREJFB Messages postés 29 Statut Membre
       
      Merci quand même
      0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, as tu essayer de redémarrer en mode sans echec et de faire une restauration système à date et heures ou le pc fonctionnait bien !!
      0
    3. JREJFB Messages postés 29 Statut Membre
       
      Bonsoir,
      Oui j'ai essayé de passer en mode sans échec mais voilà ce qui est affiché quand je tape F8 :

      Boot menu

      Select a boot first device

      FLOPPY
      ST3160021A
      DVD ROM BD
      INT. LAN
      0
    4. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      dans ce cas essais avec F5 car sur certaine carte mère c'est F5 et pas F8 ??

      sinon pour télécharger les outils si tu veux désinfecter tu les télécharge depuis ton pc avec lequel tu écris tu les passes sur l'autre pc avec une clé usb !!! et pareil pour nous donnés les rapport dans ce cas tu peux passer roguekiller pour commencer tu le télécharge et puis tu le passes sur l'autre pc avec une clé usb , si pas de clé usb tu peux utiliser un MP3 ou 4 !!!

      * Télécharge sur le bureau RogueKiller (par tigzy)
      * Quitte tous tes programmes en cours
      * lances le : Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
      * Lorsque demandé, tape 2 et valide
      * S'il demande pour un proxy, tape 1
      * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
      * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
      0
    5. JREJFB Messages postés 29 Statut Membre
       
      Un grand merci.
      Je vais essayer d'ici 30 mn et je te tiens au courant
      Merci encore
      0