Infecté par ms removal tool

Question

Bonsoir,

Je suis donc infecté par ce virus et  je ne peut plus rien executer  et des messages apparaissent toute les 2 secondes.

Merci d'avance à celui qui pourra m'aider.



Configuration: Windows XP / Firefox 3.0.19

jfkpresident · Answer

Bonsoir,

Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

bardamu · Answer

Merci de m'aider mais le soucis c'est que les .exe ne se lance pas.

jfkpresident · Answer

Ok,on va faire autrement :

* Télécharge sur le bureau RogueKiller (par tigzy)
*Renomme rogueKiller en "Winlogon.exe"
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

bardamu · Answer

Sa

bardamui · Answer

Après 50 tentatives il s'est lancer.

RogueKiller V4.3.6 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: invernizzi [Droits d'admin]
Mode: Suppression -- Date : 01/04/2011 21:53:56

Processus malicieux: 1
[APPDT/TMP/DESKTOP] aFj28604kBcGh28604.exe -- c:\documents and settings\all users\application data\afj28604kbcgh28604\afj28604kbcgh28604.exe -> KILLED

Entrees de registre: 2
[APPDT/TMP/DESKTOP] HKLM\[...]\Run : PPort11reminder ("C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini") -> DELETED
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : aFj28604kBcGh28604 (C:\Documents and Settings\All Users\Application Data\aFj28604kBcGh28604\aFj28604kBcGh28604.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

jfkpresident · Answer

C'est bon ,maintenant essaie de lancer ZhpDiag  .

bardamui · Answer

Voilà http://www.cijoint.fr/cjlink.php?file=cj201104/cijOuUPcwN.txt

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:files
C:\Program Files\CasinoOnNet    
C:\Program Files\Montorgueil    
C:\Program Files\ReparateurDeSysteme    
C:\Program Files\Common Files\AntivirusFiable    

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

bardamui · Answer

All processes killed
========== FILES ==========
C:\Program Files\CasinoOnNet folder moved successfully.
C:\Program Files\Montorgueil\Marine-La-diabloteen folder moved successfully.
C:\Program Files\Montorgueil folder moved successfully.
C:\Program Files\ReparateurDeSysteme\Res folder moved successfully.
Folder move failed. C:\Program Files\ReparateurDeSysteme scheduled to be moved on reboot.
C:\Program Files\Common Files\AntivirusFiable folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: francis invernizzi
 
User: invernizzi
->Temp folder emptied: 732443002 bytes
->Temporary Internet Files folder emptied: 356001540 bytes
->Java cache emptied: 1090714 bytes
->FireFox cache emptied: 45164474 bytes
->Flash cache emptied: 3118994 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 16786 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 14236540 bytes
%systemroot%\System32\dllcache .tmp files removed: 8987136 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5285949 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 271980894 bytes
 
Total Files Cleaned = 1 372,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 04012011_223939

Files moved on Reboot...
C:\Program Files\ReparateurDeSysteme folder moved successfully.

Registry entries deleted on Reboot...

jfkpresident · Answer

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "importer un rapport ZhpDiag" puis "ok" .

3/Laisse travailler l'outil.

4/Coche ces cases (et pas d'autres !):

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified    
[HKCU\Software\Grand Virtual]    
[HKCU\Software\Live-Player]    
[HKCU\Software\Montorgueil]   
[HKCU\Software\casinoonnet]   
[HKLM\Software\Live-Player]    
[HKLM\Software\live-player] 
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline    
O51 - MPSK:{637a15c2-31f8-11df-b943-001302b0fef1}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PegeFile.pif (.not file.)    

5/Pour finir clique sur "Nettoyer" .


6/colle le rapport obtenu .

===========

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Program Files\Brother\Brmfl08b\FAXRX.exe      

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Je reprendrais demain midi ,bonne nuit ..

bardamui · Answer

Ok je fais ça. Par contre je n'ai plus accés à internet.

Bonne nuit.

jfkpresident · Answer

Par contre je n'ai plus accés à internet. 

Si tu n'as toujours pas internet ,relance RogueKiller et choisis l'option 4

bardamui · Answer

Toujours pas accés à internet.

rafit jad kuldinger · Answer

perso, j ai prefere tous formaté et reinstaller mon system.
avec cette saloperie on ne peu pas etre sur de s en debrassé completement.

certain certain log professionel et donc payant et chere permete de virée cette saloperie de facon sur (chope sur un pc du boulot) domage j aurai aime savoir ce qu a utilise l informatitien pour le virée.

jfkpresident · Answer

En premier fait ceci :

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "importer un rapport ZhpDiag" puis "ok" .

3/Laisse travailler l'outil.

4/Coche ces cases (et pas d'autres !):

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKCU\Software\Grand Virtual]
[HKCU\Software\Live-Player]
[HKCU\Software\Montorgueil]
[HKCU\Software\casinoonnet]
[HKLM\Software\Live-Player]
[HKLM\Software\live-player]
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O51 - MPSK:{637a15c2-31f8-11df-b943-001302b0fef1}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PegeFile.pif (.not file.)

5/Pour finir clique sur "Nettoyer" .


6/colle le rapport obtenu . 

=======

Ensuite :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

bardamui · Answer

Rapport de ZHPFix 1.12.3269 par Nicolas Coolman, Update du 30/03/2011
Fichier d'export Registre : 
Run by invernizzi at 01/04/2011 23:14:01
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\CasinonetInstaller  => Clé supprimée avec succès
HKCU\Software\Grand Virtual  => Clé supprimée avec succès
HKCU\Software\Live-Player  => Clé supprimée avec succès
HKCU\Software\Montorgueil  => Clé supprimée avec succès
HKCU\Software\casinoonnet  => Clé supprimée avec succès
HKLM\Software\Live-Player  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified  => Donnée supprimée avec succès


========== Récapitulatif ==========
6 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre


End of the scan

bardamui · Answer

oups j'en avais oublié 2

Rapport de ZHPFix 1.12.3269 par Nicolas Coolman, Update du 30/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-01-04-2011-23-34-10.txt
Run by invernizzi at 01/04/2011 23:34:10
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O51 - MPSK:{637a15c2-31f8-11df-b943-001302b0fef1}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PegeFile.pif (.not file.)  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline  => Valeur absente


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre


End of the scan

bardamui · Answer

Je n'ai toujours pas internet.

"c:\Program Files\Opera\opera.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/04/2011 22:12 135336]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [20/03/2009 17:31 101936]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - COMHOST
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-01 c:\windows\Tasks\Norton AntiVirus - Effectuer une analyse complète du système - invernizzi.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2005-10-07 10:00]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\invernizzi\Application Data\Mozilla\Firefox\Profiles\42r8xi1p.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
MSConfigStartUp-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-01 23:48
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????U??????(?@???????@ 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2742423D-9B2C-E1F8-2204FBC3D18DB555}\{88A68896-609D-936A-26F31FA12C544D88}\{4CDB3AFE-271E-9455-9E26AF69AD97A138}*]
"WVZENWCHWFKXMRXM1FQWBAYGMD1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,
   6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{729CD5EE-CFD4-2598-E99D0DF7791A50E3}\{F8FFDD05-44DF-5042-E601749BEB85FEB7}\{D29FFC2E-79FD-DC28-524A63CA31F9404E}*]
"WVZENWCHWFKXMRXM1FQWBAYGMD1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,
   6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
Heure de fin: 2011-04-01  23:50:21
ComboFix-quarantined-files.txt  2011-04-01 21:50
.
Avant-CF: 69 052 469 248 octets libres
Après-CF: 69 003 128 832 octets libres
.
- - End Of File - - C44A7D6C974E0D60315D5D8367B0050D

bardamui · Answer

A noter aussi que maintenant l'ordi est très très long à demarrer.

bardamui · Answer

Et je n'arrive pas à désinstaller norton 2006 même avec l'outil symantec. Ce que je ne comprend pas c'est que j'ai une excellente connexion mais quand j'ouvre une page internet sa me marque "la connexion à échoué".

jfkpresident · Answer

Le rapport combofix n'est pas complet ..

bardamui · Answer

Ah mince. Mais ya toujours norton d'activer c'est pas grave ?

bardamui · Answer

ComboFix 11-04-01.01 - invernizzi 02/04/2011  14:54:49.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.2046.1679 [GMT 2:00]
Lancé depuis: c:\documents and settings\invernizzi\Bureau\ComboFix.exe
AV: Norton Internet Security 2006 *Enabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security 2006 *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-02 au 2011-04-02  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-02 00:24 . 2011-04-02 00:24	--------	d-----w-	c:\documents and settings\invernizzi\Application Data\GlarySoft
2011-04-02 00:22 . 2011-04-02 00:23	--------	d-----w-	c:\program files\Glary Utilities
2011-04-01 22:54 . 2011-04-01 23:33	--------	d-s---w-	c:\documents and settings\invernizzi\UserData
2011-04-01 22:25 . 2011-04-01 23:33	--------	d-----w-	c:\windows\system32\NtmsData
2011-04-01 21:20 . 2011-04-01 21:20	--------	d-----w-	c:\documents and settings\invernizzi\Local Settings\Application Data\Opera
2011-04-01 21:20 . 2011-04-01 21:20	--------	d-----w-	c:\program files\Opera
2011-04-01 20:39 . 2011-04-01 20:39	--------	d-----w-	C:\_OTM
2011-04-01 20:39 . 2011-04-01 20:39	--------	d-----w-	c:\windows\system32\fr-fr
2011-04-01 20:25 . 2011-04-01 20:25	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-04-01 20:23 . 2011-04-01 21:34	--------	d-----w-	c:\program files\ZHPDiag
2011-04-01 18:14 . 2011-04-01 18:14	--------	d-----w-	c:\documents and settings\Administrateur
2011-03-18 08:00 . 2011-03-18 08:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\TomTom
2011-03-18 08:00 . 2011-03-18 08:00	--------	d-----w-	c:\documents and settings\invernizzi\Local Settings\Application Data\TomTom
2011-03-18 08:00 . 2011-03-18 08:00	--------	d-----w-	c:\documents and settings\invernizzi\Application Data\TomTom
2011-03-18 07:59 . 2011-03-18 07:59	--------	d-----w-	c:\program files\TomTom International B.V
2011-03-18 07:59 . 2011-03-18 07:59	--------	d-----w-	c:\program files\TomTom HOME 2
2011-03-14 15:28 . 2011-03-14 15:28	--------	d-----w-	c:\program files\TomTom DesktopSuite
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-12-24 16:57 . 2006-12-24 16:57	4366779	----a-w-	c:\program files\Shareaza_2.2.3.0.exe
2011-03-18 17:58 . 2011-04-01 21:04	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-15 7561216]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-15 86016]
"nwiz"="nwiz.exe" [2006-04-15 1519616]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 761948]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-04-11 102400]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2006-2-27 581693]
Status Monitor.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2007-9-21 1085440]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
"Microsoft Works Update Detection"=c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
"BrMfcWnd"=c:\program files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe"
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe"
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"RecGuard"=c:\windows\SMINST\RecGuard.exe
"SunJavaUpdateSched"=c:\program files\Java\jre1.5.0_06\bin\jusched.exe
"ISUSPM Startup"=c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Brother\Brmfl08b\FAXRX.exe"=
"c:\Program Files\Opera\opera.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [20/03/2009 17:31 101936]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - COMHOST
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-02 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2011-04-02 09:28]
.
2011-04-01 c:\windows\Tasks\Norton AntiVirus - Effectuer une analyse complète du système - invernizzi.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2005-10-07 10:00]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\invernizzi\Application Data\Mozilla\Firefox\Profiles\42r8xi1p.default\
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-02 14:59
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????U??????(?@???????@ 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 
.
CreateFile("\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
device: opened successfully
user: error reading MBR 
kernel: MBR read successfully
user != kernel MBR !!! 
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2742423D-9B2C-E1F8-2204FBC3D18DB555}\{88A68896-609D-936A-26F31FA12C544D88}\{4CDB3AFE-271E-9455-9E26AF69AD97A138}*]
"WVZENWCHWFKXMRXM1FQWBAYGMD1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,
   6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{729CD5EE-CFD4-2598-E99D0DF7791A50E3}\{F8FFDD05-44DF-5042-E601749BEB85FEB7}\{D29FFC2E-79FD-DC28-524A63CA31F9404E}*]
"WVZENWCHWFKXMRXM1FQWBAYGMD1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,
   6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(372)
c:\windows\system32\msi.dll
.
Heure de fin: 2011-04-02  15:00:41
ComboFix-quarantined-files.txt  2011-04-02 13:00
ComboFix2.txt  2011-04-01 21:50
.
Avant-CF: 69 041 094 656 octets libres
Après-CF: 69 021 708 288 octets libres
.
- - End Of File - - 6E7DCA070413FB5C0CF58BD1FA0EFCFD

bardamui · Answer

C'est bon j'ai de nouveau internet. En faite hier internet explorer c'est mis à jour est apparament il avait bugger. Là j'ai désinstaller la mise à jour est sa marche nickel.

jfkpresident · Answer

Pourquoi tu ne surfe pas avec Firefox ?

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Program Files\Brother\Brmfl08b\FAXRX.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

bardamui · Answer

Parce qu'il ne se lance pas. Je tente de le ré-installé là. Ok je fais ça. Et j'ai aussi réussie à enlevé norton.

bardamui · Answer

File name:
FAXRX.exe
Submission date:
2011-01-17 22:42:12 (UTC)
Current status:
finished
Result:
0 /45 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3 	2011.01.15.01 	2011.01.15 	-
AntiVir 	7.9.1.146 	2010.01.22 	-
Antiy-AVL 	2.0.3.7 	2011.01.17 	-
Authentium 	5.2.0.5 	2011.01.17 	-
Avast 	4.8.1351.0 	2011.01.17 	-
Avast5 	5.0.677.0 	2011.01.17 	-
AVG 	10.0.0.1190 	2011.01.12 	-
BitDefender 	7.2 	2011.01.17 	-
CAT-QuickHeal 	11.00 	2011.01.17 	-
ClamAV 	0.96.4.0 	2011.01.17 	-
Command 	5.2.11.5 	2011.01.17 	-
Comodo 	7424 	2011.01.17 	-
DrWeb 	5.0.2.03300 	2011.01.17 	-
Emsisoft 	5.1.0.1 	2011.01.17 	-
eSafe 	7.0.17.0 	2011.01.17 	-
eTrust-Vet 	36.1.8105 	2011.01.17 	-
F-Prot 	4.6.2.117 	2011.01.17 	-
F-Secure 	9.0.16160.0 	2011.01.17 	-
Fortinet 	4.2.254.0 	2011.01.16 	-
GData 	21 	2011.01.17 	-
Ikarus 	T3.1.1.97.0 	2011.01.17 	-
Jiangmin 	13.0.900 	2011.01.17 	-
K7AntiVirus 	9.77.3565 	2011.01.17 	-
Kaspersky 	7.0.0.125 	2011.01.17 	-
McAfee 	5.400.0.1158 	2011.01.17 	-
McAfee+Artemis 	5870 	2010.01.23 	-
McAfee-GW-Edition 	2010.1C 	2011.01.17 	-
Microsoft 	1.6402 	2011.01.17 	-
NOD32 	5795 	2011.01.17 	-
Norman 	6.06.12 	2011.01.17 	-
nProtect 	2011-01-17.01 	2011.01.17 	-
Panda 	10.0.2.7 	2011.01.17 	-
PCTools 	7.0.3.5 	2011.01.17 	-
Prevx 	3.0 	2011.01.17 	-
Rising 	22.83.00.03 	2011.01.17 	-
Sophos 	4.61.0 	2011.01.17 	-
SUPERAntiSpyware 	4.40.0.1006 	2011.01.17 	-
Symantec 	20101.3.0.103 	2011.01.17 	-
TheHacker 	6.7.0.1.115 	2011.01.14 	-
TrendMicro 	9.120.0.1004 	2011.01.17 	-
TrendMicro-HouseCall 	9.120.0.1004 	2011.01.17 	-
VBA32 	3.12.14.2 	2011.01.17 	-
VIPRE 	8104 	2011.01.17 	-
ViRobot 	2011.1.17.4259 	2011.01.17 	-
VirusBuster 	13.6.151.0 	2011.01.17 	-

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Infecté par ms removal tool

28 réponses

Votre réponse

Discussions similaires

Newsletters