Et oui xp security 2011...

Question

Bonjour, 
j'ai été infecté par le malware xp security 2011, plus rien ne réagit sur le pc, j'ai tenté de suivre le tutorial de cette page => 
http://www.commentcamarche.net/faq/30984-rogue-xp-security-2011

bon j'ai du mettre RogueKiller via usb car internet est bloqué, je pouvais même pas ouvrir roguekiller, même en changeant le nom, j'ai du ouvrir via  clique droit "executer Administrateur" pourtant je suis sous xp ( j'avais pas le mot de passe, le pc est familial et il y a qu'une session c'est "tous", heureusement j'ai reussi a le changer)
je lance RogueKiller, tappe 2, y me dit qu'il a supprimé le fichier "gur.exe", mais pourtant rien ne change quand je le ferme...

merci de m'aider, je me doute que vous devez en avoir pas mal par jours...
Le pc est remplis de fichiers familiales que je ne peux me permettre de perdre...(encore heureux que j'ai recemment un autre pc sinon j'étais mort...)

Configuration: Windows 7 / Internet Explorer 8.0

moment de grace · Answer

bonjour 

essaie ceci quitte à passer par une clé usb 

desactive tes protections puis enregistre ceci sur ton bureau 

Pre_Scan 
http://dl.dropbox.com/u/21363431/Pre_scan.exe 

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau. 
CONTRIBUTEUR SECURITE 

En désinfection, c'est la fin le plus important ! 
"Restez" jusqu'au bout...merci

fonkylaflamme · Answer

Merci de ta réponse

j'ai enregistrer pre_cam sur l'ordinateur portable, je l'ai mis sur clé usb, mais quand je veux le mettre sur le pc infecté y me dit accès refusé

moment de grace · Answer

renommes le FONKY.exe pour voir

sinon essaie en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

fonkylaflamme · Answer

En fait bizaremment le fichier est .0xe et le fichier est mis comme inconnus, alors que sur le pc portable (windows seven) le fichier est normal (exe)
Apparemment quand je le met sur mon pc le fichier est converti, peut etre mon antivirus qui le change? je peux pas le desactiver j'ai plus accès a rien...
(le fichier passait normalement en mode sans echec, soucis, y peux pas demarrer en sans echec lol

Je vais tenter de le mettre en mode sans echec puis de le demarrer en normal

fonkylaflamme · Answer

Non le Pre_Scan bug en mode normal, l'icone disparait tout seul...

moment de grace · Answer

poste moi le rapport de rogue killer stp

et fais l'option 4
poste aussi le rapport

fonkylaflamme · Answer

rapport en appuyant sur 2 : RogueKiller V4.3.6 par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date : 04/04/2011 08:15:59 Processus malicieux: 1 [APPDT/TMP/DESKTOP] gur.exe -- c:\documents and settings\tous\local settings\application data\gur.exe -> KILLED Entrees de registre: 2 [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\tous\Local Settings\Application Data\gur.exe" -a "C:\Program Files\mozilla firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe") [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\tous\Local Settings\Application Data\gur.exe" -a "C:\Program Files\internet explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe") Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt En appuyant sur 4 : RogueKiller V4.3.6 par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Proxy RAZ -- Date : 04/04/2011 08:19:01 Processus malicieux: 1 [APPDT/TMP/DESKTOP] gur.exe -- c:\documents and settings\tous\local settings\application data\gur.exe -> KILLED Entrees de registre: 0 Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

moment de grace · Answer

as tu retrouver internet ?

de plus

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

fonkylaflamme · Answer

Bon...je passe ZHPDiag, quand il est a 100% je clique sur "sauvegarder le fichier sous" je met bureau, puis le fichier est pas la...je recommence, j'enregistre, et la je vois le fichier texte, mais par contre sur le bureau il est invisible...

Bon j'ai réussi en l'enregistrant sur la clé usb...(l'ordi est completement mort la...meme le message de security a changé de look...) 

Lol, meme le site pour uploader me met erreur quand j'upload, gag...j'ai du utiliser la methode copié collé

http://pjjoint.malekal.com/files.php?read=v5t11z14m6k7d8r15t12w14

Merci encore de m'aider et de répondre si vite

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs que tu renommes FLAMME.exe avant de l'enregistrer sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

fonkylaflamme · Answer

Ok je commence tout ça, par contre quand tu dis désactive mes protections, j'ai plus accès à rien, je dois faire quelque chose?

Apparemment le malware a progressé, les fenetres ont changés...

fonkylaflamme · Answer

Bon le scan s'est fait (finalement reussi a desactiver mon antivirus en faisant clic droit, executer administrateur) , il a redemarré, mais cette saleté était toujours la, et evidemment aucun signe du fichier .txt, pas apparu, pas sur le bureau, pas sur mon C:, j'ai un icone en forme de pc apparu sous le nom FLAMME, et un boot.bak, peut etre que j'ai un soucis de fichier caché?

Maintenant que j'ai remarqué que je pouvais ouvrir l'antivirus, peut etre je devrais passer un scan? (F-secure)

Je commence a perdre espoir, je me demande ou cette saleté a été infecté pour que rien ne marche..

J'ai lu sur un autre topic, qu'un gars avait utilisé la restauration systeme? cela pourrait marcher?

Merci

moment de grace · Answer

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long) 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

fonkylaflamme · Answer

Bonjour, j'ai eu quelques changements, plusieurs messages pour des trojans (mais toujours en rapport avec le "gur.exe") l'ordi redemarre tout seul etc..., et surtout le message windows qui me dit que le parefeu est desactivé (parle pas de l'antivirus) et bizarement, la page spam de xp security s'ouvrait plus (cela dit j'ai pas essayé d'ouvrir le moindre programme, peut-être vu que l'antivirus etait desactivé (tout seul...) aucun programme n'essayait de se lancer et donc le malware réagissait pas...bref

J'ai donc passé Malwarebytes, voici le rapport, et maintenant quand je clique sur des programmes ça réagit, mais les programmes ne savent pas comment s'ouvrir (me demande quel programme utiliser)

le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6272

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

5/04/2011 9:20:42
mbam-log-2011-04-05 (09-20-42).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 268961
Temps écoulé: 2 heure(s), 28 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Secure Fix (Backdoor.Bot) -> Value: Windows Secure Fix -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\WINDOWS\java\Packages\Data\Beclick.dll (Backdoor.IRCFlood) -> Quarantined and deleted successfully.
e:	otalcmd\cr-tc551.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

vide la quarantaine

puis

* Télécharge RstAssociations ( d'Xplode ) sur ton bureau.
http://www.teamxscript.org/too/Xplode/RstAssociations.exe

* Note : Si l'association de fichier .exe est corrompue, télécharge la version .scr
http://www.teamxscript.org/too/Xplode/RstAssociations.scr

* Lance le, coche toutes les cases ( à remplacer par les associations à restaurer ) puis clique sur [Restaurer]
* Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
* Note : le rapport est également sauvegardé sous C:\RstAssociations.txt

fonkylaflamme · Answer

Bonjour, voici le rapport

RstAssociations v1.1 - Rapport créé le 05/04/2011 à 21:05
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Administrateur - AA-A3653F52E471 (Administrateur)
Exécuté depuis : C:\Documents and RstAssociations v1.1 - Rapport créé le 05/04/2011 à 21:13
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Administrateur - AA-A3653F52E471 (Administrateur)
Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\RstAssociations.scr

-> asf ... association de fichiers restaurée !
-> asx ... association de fichiers restaurée !
-> audioCD ... association de fichiers restaurée !
-> avi ... association de fichiers restaurée !
-> bat ... association de fichiers restaurée !
-> bmp ... association de fichiers restaurée !
-> cab ... association de fichiers restaurée !
-> chm ... association de fichiers restaurée !
-> cmd ... association de fichiers restaurée !
-> com ... association de fichiers restaurée !
-> cpl ... association de fichiers restaurée !
-> cur ... association de fichiers restaurée !
-> directory ... association de fichiers restaurée !
-> dll ... association de fichiers restaurée !
-> drive ... association de fichiers restaurée !
-> drvms ... association de fichiers restaurée !
-> eml ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
-> folder ... association de fichiers restaurée !
-> gif ... association de fichiers restaurée !
-> hlp ... association de fichiers restaurée !
-> hta ... association de fichiers restaurée !
-> htm ... association de fichiers restaurée !
-> html ... association de fichiers restaurée !
-> ico ... association de fichiers restaurée !
-> inf ... association de fichiers restaurée !
-> ini ... association de fichiers restaurée !
-> jpe ... association de fichiers restaurée !
-> jpeg ... association de fichiers restaurée !
-> jpg ... association de fichiers restaurée !
-> js ... association de fichiers restaurée !
-> lnk ... association de fichiers restaurée !
-> m3u ... association de fichiers restaurée !
-> mp3 ... association de fichiers restaurée !
-> mp4 ... association de fichiers restaurée !
-> mpa ... association de fichiers restaurée !
-> mpe ... association de fichiers restaurée !
-> mpeg ... association de fichiers restaurée !
-> mpg ... association de fichiers restaurée !
-> msc ... association de fichiers restaurée !
-> msi ... association de fichiers restaurée !
-> png ... association de fichiers restaurée !
-> reg ... association de fichiers restaurée !
-> rtf ... association de fichiers restaurée !
-> scr ... association de fichiers restaurée !
-> tif ... association de fichiers restaurée !
-> tiff ... association de fichiers restaurée !
-> txt ... association de fichiers restaurée !
-> url ... association de fichiers restaurée !
-> vbe ... association de fichiers restaurée !
-> vbs ... association de fichiers restaurée !
-> wma ... association de fichiers restaurée !
-> wmv ... association de fichiers restaurée !
-> wsf ... association de fichiers restaurée !
-> xml ... association de fichiers restaurée !
-> xps ... association de fichiers restaurée !
-> zip ... association de fichiers restaurée !

########## EOF - "\RstAssociations.txt" - [3219 octets] ##########

Pour le moment pas de changements.

Bizarement j'ai aussi un soucis avec les fichier sur mon bureau, j'enregistre le truc, mais il est invisible, je les vois seulement dans la fenêtre ou on enregistre un fichier, bizarre...

moment de grace · Answer

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.

Si l'outil est coincé, le renommer en firefox.exe

fonkylaflamme · Answer

Impossible de lancer Pre_Scan, même en le renommant, voici le message d'erreur : 

Autolt Error
Line 2497 (file "C:\Documents and Settings	ous\Bureau\Pre_Scan.exe")

Error: Variable used without being declared.

gen-hackman · Answer

salut desolé pour le contre temps supprime la version que tu as et retelecharge-le

fonkylaflamme · Answer

Ok c'était bien ça, le scan est finis

j'ai compris pourquoi je voyais plus les nouveaux icônes sur le bureau, vu que comme j'ouvre avec clic droit executer administrateur, ça se mettait dans C:\Documents and Settings\Administrateur\Bureau au lieu de C:\Documents and Settings	ous\Bureau

Bon c'est bête mais je l'ignorais !

Donc voici le rapport, sans oublier que je ne peux toujours pas ouvrir en double cliquant, peut-être que les infos affichés ici correspondent a la session "administrateur" et pas la ou est le soucis? (session "tous")




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.10 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

               ¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 06/04/2011 | 00.10 par g3n-h@ckm@n
Utilisateur : Administrateur (Administrateurs)
Ordinateur : AA-A3653F52E471

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 4.0 (fr)

Scan : 03:02:25 | 06/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\Firefox.exe" -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[ERSvc] | Start -> Aucune modification : 2 -> 2
[Bits] | Start -> Aucune modification : 2 -> 2
[EapHost] | Start -> Modification apportée : 3 -> 2
[SharedAccess] | Start -> Modification apportée : 4 -> 2
[wuauserv] | Start -> Modification apportée :  -> 2
[WerSvc] | Start -> Modification apportée :  -> 2
[wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU | Main] | Start Page -> Modification apportée :  -> http://www.google.com/
[HKCU | Main] | Local Page -> Modification apportée :  -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée :  -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

ATKKBService.exe -> Processus stoppé 


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

Supprimé : [Your Image File Name Here without a path] -> 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

scanning	jobs ...

scanning	processes ...

scanning	threads ...

scanning	modules in svchost.exe...
scanning	modules in services.exe...
scanning	modules in explorer.exe...

restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service ERSvc autorun restored

restoring show hidden and system files

restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP

scanning	C:\WINDOWS\system32 ...
scanning	C:\Program Files\Internet Explorer\ ...
scanning	C:\Program Files\Movie Maker\ ...
scanning	C:\Program Files\Windows Media Player\ ...
scanning	C:\Program Files\Windows NT\ ...
scanning	C:\Documents and Settings\Administrateur\Application Data ...
scanning	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ...
scanning	 C:\ ...
scanning	 D:\ ...
scanning	 E:\ ...
scanning	 F:\ ...
scanning	 G:\ ...

completed
Infected jobs:			0
Infected files:			0
Infected threads:		0
Splices functions:		0
Cured files:			0
Fixed registry keys:		0



Fin : 03:18:07

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

? Télécharge ici :List_Kill'em
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

et enregistre le sur ton bureau

lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

enregistre le sur ton bureau et lance l'installation

(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau)

Laisse coché :

=> Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Search

=> laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan


=> Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

 Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ces liens dans ta réponse.

fonkylaflamme · Answer

Mais j'ai toujours des malwares? je pensais qu'ils étaient supprimés et qu'il fallait juste reparer pour ouvrir les programmes

Je viens de passer List Kill'em, par contre j'ai pas eu le début du passage que tu décris.

Le programme s'est ouvert, j'ai eu directement la page : Recherche, Suppression, Outils, Arret service, quitter.

J'ai fais recherche et la j'ai les deux fichier .txt

Je les transmets, ou je dois faire une autre manip?

fonkylaflamme · Answer

Ben quand j'ouvre l'ordi, la j'ai qu'une session, la session "tous", que j'utilise depuis toujours, et donc j'arrive sur le bureau et peu importe sur quel programme je clique j'ai droit a ça "Choisissez le programme à utiliser pour ouvrir ce fichier, puis y a la liste des trucs que j'ai quoi

Donc pour ouvrir je fais clic droit, executer, je coche "administrateur" au lieu de "tous" et la ça s'ouvre (je suis sur XP)

Je vois pas du tout comment ouvrir un programme en double cliquant, a vrai dire y a plus que ça qui déconne je crois, je pense plus avoir de malware, en tout cas j'ai plus le message.

fonkylaflamme · Answer

rapport "list'em" 
http://www.cijoint.fr/cjlink.php?file=cj201104/cijBhDq951.txt

rapport "more"
http://www.cijoint.fr/cjlink.php?file=cj201104/cij08LZoVj.txt

fonkylaflamme · Answer

Des nouvelles? Perso je pense que je le formatage se rapproche tout doucement...quand je vois pour la plupart suffit de passer RogueKiller et c'est bon, c'est déprimant

fonkylaflamme · Answer

Oula, donc j'ai suivi la procédure, et en fait absolument tout a changé, mon bureau, mon fond d'écran ma barre de tâches, etc

Si je comprends bien, je suis arrivé sur la session Administrateur? 

J'espère quand meme pouvoir retrouver la session "tous" car la je suis un peu perdu, bon par contre maintenant je peux double cliquer et les programmes s'ouvrent


voici le rapport


¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤ 

Running Process Killed : PID 1120 'iexplore.exe'  
Running Process Killed : PID 1120 'iexplore.exe'  
Running Process Killed : PID 1120 'iexplore.exe'  
Running Process Killed : PID 636 'explorer.exe'  
 
¤¤¤¤¤¤¤¤¤¤ Processus :
 
stoppe : fsorsp.exe   
stoppe : svrse.exe   

¤¤¤¤¤¤¤¤¤¤ Added Keys :
 

¤¤¤¤¤¤¤¤¤¤ Removed Keys :
 
Suppression : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run : MSN    
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}    

¤¤¤¤¤¤¤¤¤¤ Ports closed :
 
Suppression  : 2869:TCP    
Suppression  : 1900:UDP    

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
 

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
 
 
 

¤¤¤¤¤¤¤¤¤¤ Object Restored :
 

¤¤¤¤¤¤¤¤¤¤ Folder List :
 

¤¤¤¤¤¤¤¤¤¤ Read File :
 

¤¤¤¤¤¤¤¤¤¤ Signature :
 
No matching files were found.

  

¤¤¤¤¤¤¤¤¤¤ Key Look :
 

End at 22:57:11

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Télécharge TDSSKiller

&#9654 Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:	dsskiller.txt.

fonkylaflamme · Answer

2011/04/07 23:19:41.0578 2084	TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/07 23:19:41.0828 2084	================================================================================
2011/04/07 23:19:41.0828 2084	SystemInfo:
2011/04/07 23:19:41.0828 2084	
2011/04/07 23:19:41.0828 2084	OS Version: 5.1.2600 ServicePack: 3.0
2011/04/07 23:19:41.0828 2084	Product type: Workstation
2011/04/07 23:19:41.0828 2084	ComputerName: AA-A3653F52E471
2011/04/07 23:19:41.0828 2084	UserName: Administrateur
2011/04/07 23:19:41.0828 2084	Windows directory: C:\WINDOWS
2011/04/07 23:19:41.0828 2084	System windows directory: C:\WINDOWS
2011/04/07 23:19:41.0828 2084	Processor architecture: Intel x86
2011/04/07 23:19:41.0828 2084	Number of processors: 1
2011/04/07 23:19:41.0828 2084	Page size: 0x1000
2011/04/07 23:19:41.0828 2084	Boot type: Normal boot
2011/04/07 23:19:41.0828 2084	================================================================================
2011/04/07 23:19:44.0484 2084	Initialize success
2011/04/07 23:20:03.0140 3004	================================================================================
2011/04/07 23:20:03.0140 3004	Scan started
2011/04/07 23:20:03.0140 3004	Mode: Manual; 
2011/04/07 23:20:03.0140 3004	================================================================================
2011/04/07 23:20:04.0000 3004	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/07 23:20:04.0171 3004	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/07 23:20:04.0531 3004	aeaudio         (11c04b17ed2abbb4833694bcd644ac90) C:\WINDOWS\system32\drivers\aeaudio.sys
2011/04/07 23:20:04.0656 3004	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/07 23:20:04.0812 3004	Afc             (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2011/04/07 23:20:05.0046 3004	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/07 23:20:05.0984 3004	asuskbnt        (59453b241885552f645fdff4a72f868c) C:\WINDOWS\system32\drivers\atkkbnt.sys
2011/04/07 23:20:06.0156 3004	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/07 23:20:06.0328 3004	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/07 23:20:06.0546 3004	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/07 23:20:07.0015 3004	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/07 23:20:07.0281 3004	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/07 23:20:07.0671 3004	BtHidBus        (fcf500c9e89e193e038dcfcdba6aa032) C:\WINDOWS\system32\Drivers\BtHidBus.sys
2011/04/07 23:20:08.0359 3004	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/07 23:20:08.0609 3004	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/07 23:20:08.0812 3004	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/07 23:20:09.0046 3004	cdrbsdrv        (351735695e9ead93de6af85d8beb1ca8) C:\WINDOWS\system32\drivers\cdrbsdrv.sys
2011/04/07 23:20:09.0234 3004	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/07 23:20:10.0093 3004	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/07 23:20:10.0328 3004	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/07 23:20:10.0593 3004	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/07 23:20:10.0765 3004	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/07 23:20:10.0859 3004	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/07 23:20:11.0046 3004	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/07 23:20:11.0187 3004	EIO             (3782cd28b7221bdb77bcb8daedf63847) C:\WINDOWS\system32\drivers\EIO.sys
2011/04/07 23:20:11.0406 3004	F-Secure Filter (17496efae7a0c26ec258b9a5bff52785) C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys
2011/04/07 23:20:11.0515 3004	F-Secure Gatekeeper (ba3a72b0d43954f8a92c6d896183017d) C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys
2011/04/07 23:20:11.0703 3004	F-Secure HIPS   (ff73cec7c496fdc3e49446ee6bd54779) C:\Program Files\F-Secure\HIPS\drivers\fshs.sys
2011/04/07 23:20:11.0890 3004	F-Secure Recognizer (dfeb026e5f5c2a1a9c4a56301021e3a4) C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys
2011/04/07 23:20:12.0062 3004	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/07 23:20:12.0250 3004	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/04/07 23:20:12.0421 3004	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/07 23:20:12.0515 3004	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/04/07 23:20:12.0656 3004	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/07 23:20:12.0796 3004	fsbts           (0e3e5d0486c4e2128b9f0e1c2fd410c4) C:\WINDOWS\system32\Drivers\fsbts.sys
2011/04/07 23:20:12.0937 3004	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/07 23:20:13.0062 3004	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/07 23:20:13.0171 3004	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/04/07 23:20:13.0390 3004	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/07 23:20:13.0546 3004	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/04/07 23:20:13.0812 3004	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/07 23:20:14.0203 3004	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/07 23:20:14.0359 3004	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/07 23:20:14.0687 3004	intelppm        (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/04/07 23:20:14.0796 3004	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/07 23:20:14.0953 3004	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/07 23:20:15.0109 3004	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/07 23:20:15.0218 3004	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/07 23:20:15.0375 3004	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/07 23:20:15.0500 3004	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/07 23:20:15.0656 3004	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/07 23:20:15.0781 3004	IvtBtBUs        (71e1fc547cc488d5cd7bf0860c96f5af) C:\WINDOWS\system32\Drivers\IvtBtBus.sys
2011/04/07 23:20:15.0921 3004	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/07 23:20:16.0046 3004	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/07 23:20:16.0203 3004	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/07 23:20:16.0500 3004	LVcKap          (8113133ec42dd6c566908008ce913edd) C:\WINDOWS\system32\DRIVERS\LVcKap.sys
2011/04/07 23:20:16.0765 3004	LVMVDrv         (0dd5b8af4917a2821047450195c511b3) C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys
2011/04/07 23:20:17.0000 3004	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/07 23:20:17.0093 3004	Modem           (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/07 23:20:17.0218 3004	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/07 23:20:17.0359 3004	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/04/07 23:20:17.0468 3004	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/07 23:20:17.0671 3004	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/07 23:20:17.0828 3004	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/07 23:20:18.0015 3004	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/07 23:20:18.0109 3004	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/07 23:20:18.0250 3004	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/07 23:20:18.0406 3004	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/07 23:20:18.0500 3004	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/07 23:20:18.0609 3004	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/07 23:20:18.0781 3004	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/07 23:20:18.0859 3004	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/04/07 23:20:19.0000 3004	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/04/07 23:20:19.0093 3004	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/04/07 23:20:19.0234 3004	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/07 23:20:19.0343 3004	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/04/07 23:20:19.0484 3004	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/04/07 23:20:19.0734 3004	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/07 23:20:19.0906 3004	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/07 23:20:20.0093 3004	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/07 23:20:20.0296 3004	nv              (7fe3f1721856365c882dae13f3600223) C:\WINDOWS\system32\DRIVERS
v4_mini.sys
2011/04/07 23:20:20.0578 3004	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/04/07 23:20:20.0671 3004	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/04/07 23:20:20.0843 3004	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/07 23:20:20.0921 3004	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/07 23:20:21.0046 3004	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/07 23:20:21.0140 3004	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/07 23:20:21.0343 3004	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/07 23:20:21.0468 3004	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/07 23:20:22.0187 3004	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/04/07 23:20:22.0375 3004	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/07 23:20:22.0515 3004	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/07 23:20:22.0656 3004	PxHelp20        (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/04/07 23:20:23.0156 3004	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/04/07 23:20:23.0296 3004	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/04/07 23:20:23.0421 3004	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/04/07 23:20:23.0500 3004	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/04/07 23:20:23.0640 3004	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/04/07 23:20:23.0796 3004	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/07 23:20:23.0906 3004	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
2011/04/07 23:20:24.0093 3004	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/07 23:20:24.0281 3004	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/04/07 23:20:24.0453 3004	RT2500USB       (70aeec67e87a2002e6b2cc353d56e222) C:\WINDOWS\system32\DRIVERSt2500usb.sys
2011/04/07 23:20:24.0656 3004	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/07 23:20:24.0828 3004	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/07 23:20:24.0984 3004	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/07 23:20:25.0093 3004	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/07 23:20:25.0343 3004	SiS7012         (3fb1dbd8a787bb5afd8d4ec3c5701608) C:\WINDOWS\system32\drivers\sis7012.sys
2011/04/07 23:20:25.0500 3004	sisagp          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/04/07 23:20:25.0640 3004	SISNIC          (3fbb6ef8b5a71a2fa11f5f461bb73219) C:\WINDOWS\system32\DRIVERS\sisnic.sys
2011/04/07 23:20:25.0796 3004	smwdm           (3c8c1c6485a4a7e79a24ec688f1c4646) C:\WINDOWS\system32\drivers\smwdm.sys
2011/04/07 23:20:26.0031 3004	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/07 23:20:26.0187 3004	sptd            (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
2011/04/07 23:20:26.0187 3004	Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505
2011/04/07 23:20:26.0203 3004	sptd - detected Locked file (1)
2011/04/07 23:20:26.0359 3004	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/07 23:20:26.0515 3004	Srv             (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/07 23:20:26.0703 3004	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/07 23:20:26.0828 3004	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/07 23:20:27.0328 3004	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/07 23:20:27.0484 3004	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/04/07 23:20:27.0640 3004	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/07 23:20:27.0750 3004	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/07 23:20:27.0921 3004	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/04/07 23:20:28.0203 3004	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/07 23:20:28.0437 3004	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/07 23:20:28.0671 3004	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/04/07 23:20:28.0812 3004	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/04/07 23:20:28.0953 3004	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/07 23:20:29.0046 3004	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/07 23:20:29.0203 3004	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/04/07 23:20:29.0328 3004	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/04/07 23:20:29.0484 3004	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/07 23:20:29.0796 3004	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/07 23:20:30.0000 3004	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/07 23:20:30.0187 3004	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/07 23:20:30.0406 3004	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/07 23:20:30.0781 3004	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/04/07 23:20:30.0953 3004	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/04/07 23:20:31.0359 3004	================================================================================
2011/04/07 23:20:31.0359 3004	Scan finished
2011/04/07 23:20:31.0359 3004	================================================================================
2011/04/07 23:20:31.0406 3448	Detected object count: 1
2011/04/07 23:20:41.0906 3448	Locked file(sptd) - User select action: Skip 
2011/04/07 23:21:19.0921 3884	Deinitialize success

fonkylaflamme · Answer

Bonjour, en redémarant l'ordi, ma session est redevenue normal, pas de changements, mes .exe me demandent toujours avec quel programme s'ouvrir.

gen-hackman · Answer

salut

retelecharge Pre_scan ici :

http://dl.dropbox.com/u/21363431/Pre_Scan.exe

et cette fois-ci utilise-le sur la session infectée et non sur la session normale

fonkylaflamme · Answer

Euh ben je ne peux pas ouvrir Pre_Scan vu que en double cliquant y me dit "choisissez le programme à utiliser pour ouvrir ce fichier" et la y me propose Internet Explorer, Bloc notes, et différent programmes que j'ai sur mon pc.
Comment permettre au .exe de se relancer normalement?

gen-hackman · Answer

il est sensé le faire lol

tu l'enregistres bien sur ton bureau ?

ne l'execute pas directement d'internet

fonkylaflamme · Answer

En fait vu que mes .exe ne marchent plus en double cliquant, tout ce que je fais encore sur le pc (sauf les photos et les vidéos) je dois ouvrir en faisant clic droit, executer, je coche "administrateur" au lieu de "tous"

Du coup je suis sur une version différente d'IE, j'ai pas mes favoris etc, et en fait depuis que j'ai ouvert pour la première fois en faisant clic droit, executer, administrateur, il a crée un nouveau dossier appelé "Administrateur" dans "Documents and Settings" avec une copie de Bureau, Mes Documents, etc.
Et en ouvrant via clic droit, Administrateur, j'ai pas de bugs, je peux ouvrir n'importe quoi, Malwarebytes, Pre Scan, internet, mon anti virus, mais le soucis c'est que en ouvrant via Administrateur, ben y scan la ou y a pas de soucis je suppose.

Et donc j'enregistre Pre_Scan, je vérifie bien de l'enregistrer dans mon bureau :


C:\Documents and Settings	ous\Bureau

Problème, y s'enregistre quand même ici :

C:\Documents and Settings\Administrateur\Bureau

Je le déplace sur mon bureau, et la ben double clic, et "Choisissez le programme pour ouvrir Pre_Scan etc"

Et donc voila c'est un peu l'impasse?

Sinon je peux même plus allez dans mes paramètres, genre je fais Panneau de Config, j'ouvre disons "Souris" par exemple, et la y me dit : 

C:\WINDOWS\system32undll32.exe
Application Introuvable

Bon c'est encore un .exe quoi...

D'ou vient le soucis? XP Security m'a bousillé un fichier, ou y faut tout simplement reconfigurer l'execution des .exe?

gen-hackman · Answer

ah attends ....

tu l'as ce fichier ?

fonkylaflamme · Answer

Rundll32.exe? je viens de vérifier, je l'ai, mais le logo est différent des autres, pas sur que c'est un .exe,voila un printscreen :


http://www.imagup.com/data/1116971663.html

gen-hackman · Answer

oui ca je sais que le logo est different ^^

peux-tu ouvrir regedit ?

touche windows + R tape regedit et entrée

fonkylaflamme · Answer

Je me disais si le logo est différent ça peux signifier un soucis^^

Non pas de réaction quand j'entre regedit...

gen-hackman · Answer

ok

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

fonkylaflamme · Answer

Le soucis c'est que tu dis :
si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

J'ai xp, et comme j'ai dis dans les posts precedents, double clic m'amène a ça:

http://www.imagup.com/data/1116993213.html

Donc voila...:(

fonkylaflamme · Answer

Lien OST.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijF0rCjiW.txt

Lien Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijyfNrOEl.txt

gen-hackman · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Bonjour Service

:OTL
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()  
O3 - HKU\S-1-5-21-790525478-776561741-839522115-1003\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () 
O3 - HKU\S-1-5-21-790525478-776561741-839522115-500\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O4 - HKLM\..\Run: [Windows Secure Fix]  File not found   
O4 - HKU\.DEFAULT\..\Run: [Windows Secure Fix]  File not found
O4 - HKU\S-1-5-21-790525478-776561741-839522115-1003\..\Run: [Windows Secure Fix]  File not found
O4 - HKU\.DEFAULT\..\RunOnce: [Windows Secure Fix]  File not found
O4 - HKU\S-1-5-18\..\RunOnce: [Windows Secure Fix]  File not found
O16 - DPF: {32C3FEAE-0877-4767-8C20-62A5829A0945} http://static.ak.facebook.com/fbplugin/win32/axfbootloader.cab (Reg Error: Key error.)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} https://www.touslesdrivers.com/index.php?v_page=29 (Reg Error: Key error.)  
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)   
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll () 
O35 - HKU\S-1-5-21-790525478-776561741-839522115-1003..exefile [open] -- "C:\Documents and Settings	ous\Local Settings\Application Data\gur.exe" -a "%1" %*      
O37 - HKU\S-1-5-21-790525478-776561741-839522115-1003\...exe [@ = exefile] -- "C:\Documents and Settings	ous\Local Settings\Application Data\gur.exe" -a "%1" %*      
     


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"nwiz"=-
"SunJavaUpdateSched"=-

:Files
C:\1st_Quarantine_L_K      
C:\Documents and Settings\All Users\Application Data\f3d43thq7f51job2q82 
C:\WINDOWS\is-TLSP8.*
C:\Documents and Settings\All Users\Application Data\*.exe 
@Alternate Data Stream - 88 bytes -> C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe:SummaryInformation 

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

fonkylaflamme · Answer

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named Bonjour Service was found to stop!
Service\Driver key Bonjour Service not found.
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{043C5167-00BB-4324-AF7E-62013FAEDACF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}\ deleted successfully.
C:\Program Files\vShare\vshare_toolbar.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{043C5167-00BB-4324-AF7E-62013FAEDACF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}\ not found.
File C:\Program Files\vShare\vshare_toolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-790525478-776561741-839522115-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{043C5167-00BB-4324-AF7E-62013FAEDACF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}\ not found.
File C:\Program Files\vShare\vshare_toolbar.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\Windows Secure Fix deleted successfully.
Registry value HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Windows Secure Fix deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\Windows Secure Fix deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\Windows Secure Fix not found.
Starting removal of ActiveX control {32C3FEAE-0877-4767-8C20-62A5829A0945}
C:\WINDOWS\Downloaded Program Files\axfbootloader.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{32C3FEAE-0877-4767-8C20-62A5829A0945}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32C3FEAE-0877-4767-8C20-62A5829A0945}\ not found.
Registry key HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003\SOFTWARE\Classes\CLSID\{32C3FEAE-0877-4767-8C20-62A5829A0945}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{32C3FEAE-0877-4767-8C20-62A5829A0945}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32C3FEAE-0877-4767-8C20-62A5829A0945}\ not found.
Starting removal of ActiveX control {867E13F2-7F31-44FB-AC97-CD38E0DC46EF}
C:\WINDOWS\Downloaded Program Files\hardwaredetection.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
File C:\Program Files\vShare\vshare_toolbar.dll not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\vsharechrome\ deleted successfully.
File C:\Program Files\vShare\vshare_toolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003_Classes\exefile\shell\open\command\'' updated successfully.
File "C:\Documents and Settings	ous\Local Settings\Application Data\gur.exe" -a "%1" %* not found.
Registry key HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003_Classes\.exe\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-790525478-776561741-839522115-1003_Classes\exefile\ deleted successfully.
HKEY_LOCAL_MACHINE\Software\Classes\.exe\|exefile /E : value set successfully!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nwiz deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched deleted successfully.
========== FILES ==========
C:\1st_Quarantine_L_K folder moved successfully.
C:\Documents and Settings\All Users\Application Data\f3d43thq7f51job2q82 moved successfully.
C:\WINDOWS\is-TLSP8.exe moved successfully.
C:\WINDOWS\is-TLSP8.lst moved successfully.
C:\WINDOWS\is-TLSP8.msg moved successfully.
C:\Documents and Settings\All Users\Application Data\bds.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\bof.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\ils.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\sho.exe moved successfully.
C:\Documents and Settings\All Users\Application Data	yd.exe moved successfully.
ADS C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe:SummaryInformation deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 7046011 bytes
->Temporary Internet Files folder emptied: 81211845 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 11960713 bytes
->Flash cache emptied: 72876 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56466 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: tous
->Temp folder emptied: 17544613 bytes
->Temporary Internet Files folder emptied: 1644825587 bytes
->Java cache emptied: 98377402 bytes
->FireFox cache emptied: 52289223 bytes
->Flash cache emptied: 1841610 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148155 bytes
%systemroot%\System32 .tmp files removed: 4528640 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91192946 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.920,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04102011_214247

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\MBTR3YNF\%7C-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-300x250;size=300x250;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=2315;kvbnex=999;;grp=30236496;misc=30236496 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\MBTR3YNF\-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-300x250;size=300x250;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=2330;kvbnex=999;;grp=878556999;misc=878556999 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\MBTR3YNF\-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-300x250;size=300x250;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=8342;kvbnex=999;;grp=664029789;misc=664029789 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\MBTR3YNF\0%7C-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=664029789;misc=664029789 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\MBTR3YNF\0%7C-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=957993146;misc=957993146 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\J5VIWJ3N\%7CADTECH;alias=be.commentcamarche[1].fr-telecharger-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=419734885;misc=419734885 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\J5VIWJ3N\-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-300x250;size=300x250;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=2309;kvbnex=999;;grp=957993146;misc=957993146 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\EUB0O819\%7CADTECH;alias=be.commentcamarche[1].fr-telecharger-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=215097492;misc=215097492 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\EUB0O819\-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-300x250;size=300x250;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=6947;kvbnex=999;;grp=764653445;misc=764653445 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\EUB0O819\0%7C-1%7CADTECH;alias=be.commentcamarche[1].fr-forum-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=764653445;misc=764653445 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\EUB0O819\=1;rndc=130198852;alias=be.commentcamarche[1].fr-forum-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=30236496;misc=30236496 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\05HPXKCE\%7CADTECH;alias=be.commentcamarche[1].fr-telecharger-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=258465537;misc=258465537 not found!
File\Folder C:\Documents and Settings\Administrateur\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\05HPXKCE\;rndc=130198991;alias=be.commentcamarche[1].fr-forum-728x90;size=728x90;kvhib=9;kvhios=3;kvhires=3;kvhif=10;kvhibw=1003;kvhibh=524;kvbnex=999;;grp=878556999;misc=878556999 not found!

Registry entries deleted on Reboot...


Voila, ça a marché, directement j'ai eu mon F-Secure et Windows live qui se sont ouvert, et j'ai pu ouvrir ce que je voulais en double cliquant.

Voila le rapport, pas sur qu'il est complet, j'ai voulu le mettre avec Cijoint mais je ne trouve pas le fichier.

Y a t'il encore des choses à faire?

gen-hackman · Answer

bah precise les soucis qu'il te reste :)

fonkylaflamme · Answer

Plus vraiment de soucis, a part que j'arrive pas a remettre les MAJ automatique de windows, dans panneau de config, MAJ, elles sont pourtant mise sur telecharger automatiquement, pourtant j'ai le message d'alerte windows dans ma barre qui me dit "attention MAJ desactivés etc"

Et je me demandais si je pouvais supprimer le fichier installé avec Combofix, dans C:, un icône en forme d'ordinateur quand je l'ouvre, je reviens au même endroit.

Et j'ai aussi un fichier boot.bak dans C:, je me demandais c'était quoi? et si je peux le supprimer?

Merci

gen-hackman · Answer

donc le double-clic est redevenu fonctionnel ?

fonkylaflamme · Answer

Oui oui, le double clic remarche :)

gen-hackman · Answer

donc ceci doit fonctionner maintenant

https://forums.commentcamarche.net/forum/affich-21473724-et-oui-xp-security-2011?full#35

fonkylaflamme · Answer

Je suis pas sur de savoir de quel message tu parles, je dois passer Pre_Scan?

gen-hackman · Answer

oui telecharge-le avant car il est modifé et amelioré souvent pour pas dire tout le temps

fonkylaflamme · Answer

Bon j'ai désactivé pare-feu et mon anti-virus, puis j'ai lancé Pre_Scan mais y m'a semblé pas avoir finis le Scan, enfin voici le rapport que j'ai eu sur le bureau :

MBRCheck, version 1.2.3

(c) 2010, AD



Command-line:			-za C:\MBR\MBR.bin 

Windows Version:		Windows XP Professional

Windows Information:		Service Pack 3 (build 2600)

Logical Drives Mask:		0x000003fd



Analysis of file "C:\MBR\MBR.bin":

Windows XP MBR code detected





Done!

gen-hackman · Answer

y'en a encore un bout dans C:\ ^^

beug corrigé mais vous etes deux a avoir eu le texte en deux morceaux :)

fonkylaflamme · Answer

En effet :)


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.27 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

               ¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 12/04/2011 | 19.45 par g3n-h@ckm@n
Utilisateur : tous (Administrateurs)
Ordinateur : AA-A3653F52E471

Système d'exploitation : Microsoft Windows XP (32 bits)
Architecture OS : X86
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 4.0 (fr)

Scan : 22:46:36 | 12/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*

¤

[Firefox - Safemode | Command] | @ -> Modification apportée : "C:\Program Files\Mozilla Firefox\Firefox.exe" -> "C:\Program Files\Mozilla Firefox\Firefox.exe" -safe-mode
[IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 -> "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1

¤


¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
[WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU | Main] | Start Page -> Modification apportée : http://www.jeuxvideo.com/ -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\WINDOWS\ATKKBService.exe -> Processus stoppé 
C:\WINDOWS\explorer.exe -> Processus stoppé 

¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

Supprimé : [HKCU\..\..\Mountpoints2\{a2504776-6054-11df-97db-000c6ee897bb}] -> command : C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL FEAkUE.eXE


¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fin : 22:51:23

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

tu viens de brancher une clé usb pourrie sur ton pc ca l'a reinfecté :(

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

fonkylaflamme · Answer

Euh bizarre j'ai pas branché de clé Usb aujourd'hui, je me sers rarement de clé Usb, probablement ma soeur qui met ses photos sur son portable (si elle a la clé infecté c'est con haha). Mais je suis quasi certain qu'elle a pas été aujourd'hui.

J'ai pas la clé Usb sous la main, je ferais ça dès que possible.

gen-hackman · Answer

fais-le deja sans tu pourras le refaire avec la clé

fonky la flamme · Answer

Bon gros soucis, après avoir passé USBFix, je vois que j'ai plus mes icônes dans ma barre a part Controle du volume et l'alerte windows pour l'anti virus , et en effet, plus moyen de rien lancer de nouveau, et le pire c'est que "clic droit executer Administrateur" marche pas non plus. La je poste depuis ma PS3...pas ordi portable sous la main.

Qu'est ce qui a pu se passer?

gen-hackman · Answer

lol tout le monde s'affole pour rien ^^

redemarre si la vue de tes icones te reconforte ^^

et poste le rapport

fonkylaflamme · Answer

Pouvait pas savoir moi ! ^^

fonkylaflamme · Answer

Bon je copie/colle je rapport et y me dit "Titre du message non renseigné"

Donc je l'ai mis sur Cijoint


http://www.cijoint.fr/cjlink.php?file=cj201104/cijK1yYSsN.txt

gen-hackman · Answer

bien mets malwarebytes à jour et refais un scan complet

fonkylaflamme · Answer

Oula Malwarebytes, en complet ça avait pris genre 4h la dernière fois, je le ferais peut-être un peu plus tard^^

Je me souviens plus bien, pour MBAM je dois désactiver l'anti-virus et le parefeu?

Et donc y me semble, je fais scan complet, après je vais dans "quarantaine" je supprime, puis y a le rapport dans une rubrique (je la retrouverais)
C'est ok?

gen-hackman · Answer

en fin de scan tu fais supprimer la selection et tu remets le rappport le dernier en date de l onglet rapport/log du programme oui

fonkylaflamme · Answer

Hello, bon depuis hier j'ai passé genre 5 fois MBAM, chaque fois y plante sur un fichier.

C:\Documents and Settings	ous\Voisinage réseau\Installation_SOFTWARES sur info07	arget.Ink

Ne sachant pas du tout ce que c'est, je préfère demander avant d'envisager la suppression.

C'est quoi? :)

gen-hackman · Answer

hello il en dit quoi ?

fonkylaflamme · Answer

Excuse moi, pas bien compris ton post !

gen-hackman · Answer

supprime le fichier

fonkylaflamme · Answer

Hello, bon je suis moins concentré sur la securité de mon pc ces jours ci, la j'y pense donc je viens donner suite au sujet.

Donc depuis j'ai pas réussi a passer MBAM, y plante dans divers fichier de :

C:\documents and settings	ous\UserData 

truc du genre, mais pas chaque fois le même fichier ça peux changer, bon je sais pas du tout ce que c'est, apparemment c'est un dossier bien caché car même en faisant "affichier les dossier caché" il apparait pas, je dois tapper "l'url" (bon c'est pas un url mais on se comprend) pour entrer dans le dossier.

J'ai bien fais toutes les MaJ de MBAM, et au moment ou le programme plante, il a trouvé une infection.

J'attends les instructions :) !

fonkylaflamme · Answer

Je n'ai pas de rapport vu que le scan est pas finis, MBAM plante et je dois le fermer avec control/alt/delete

mary35 · Answer

Pouvez vous m'aider?J'ai le meme probleme security tool qui bloque tout mon internet,mes programmes.
Et qu'an jéssai d'ouvrir des chose sa fait toujours ouvrir avec et aucun programme fonctionne la dedans.

J'ai regardé la discussion sa l'air difficile comme procedure:(

gen-hackman · Answer

ok salut essaie d'effectuer le scan en mode sans echec

fonkylaflamme · Answer

Bonsoir, je up ce ce sujet que j'avais crée en Mai, car j'ai encore quelques soucis, petit rappel pour pas devoir relire tout :

Donc j'avais été infecté par xp security, on a réussi a en venir à bout difficilement.
Mais depuis j'ai les MAJ windows desactivés, impossible de les activer que ce soit dans outils, ou même en faisant une recherche de MAJ j'ai un message d'erreur.

Donc j'ai un peu recherché, apparemment ce serait le trojan Vundo qui serait responsable de ça.

Bon j'essaye de passer Malwarebytes anti-malware, mais y plante sur des fichiers quelconque, donc je regarde un peu sur le net des bons anti-malware, je passe SUPERantispyware, et la y trouve effectivement un Vundo, je supprime (enfin je crois) mais aucun changements, peux toujours pas activé les MaJ.

J'ai essayé de passer MBAM en mode sans Echec, la il a pas planté, mais il a rien trouvé.

Merci de votre aide.

juju666 · Answer

salut pour avancer

Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. 

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu 

Télécharge Pre_scan (de gen-hackman)

&#9830 Enregistre le sur ton bureau  
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

&#9654 Exécute Pre_scan. Si l'outil détecte un proxy  et que tu n''en as pas installé  clique sur "supprimer le proxy"

&#9654 Une fois qu'il aura fini, un rapport s'ouvrira. 

&#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

++

g3n-h@ckm@n · Answer

salut on va repartir de zéro c'est le mieux :

&#9654 Télécharge DelFix sur ton bureau.

&#9654 Lance le, tape suppression puis valide 

Patiente pendant le scan jusqu'à l'ouverture du rapport.

&#9654 Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

==========================

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

fonkylaflamme · Answer

rapport de DelFix :

# DelFix v8.3 - Rapport créé le 05/09/2011 à 06:35
# Mis à jour le 04/08/11 à 11h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : tous - AA-A3653F52E471 (Administrateur)
# Exécuté depuis : C:\Documents and Settings	ous\Bureau\delfix0.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\USBFix
Supprimé : C:\Program Files\List_Kill'em

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_AA-A3653F52E471.zip
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings	ous\Bureau\UsbFix.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\g3n-h@ckm@n
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1898 octets] ##########

fonkylaflamme · Answer

Alors TDSKiller a trouvé :

Service name : sptd
Service type : Kernel driver (0x1)
Service Start : Boot (0x0)
File: C:\WINDOWS\System32\Drivers\sptd.sys
MD5: cdddec541bc3c96f91ecb48759673505

Et il est actuellement sur "Skip"

Je dois le laisser ainsi?

g3n-h@ckm@n · Answer

oui c'est ecrit ainsi au dessus :)

fonkylaflamme · Answer

Ok voila le rapport :

2011/09/05 06:38:57.0734 3996	TDSS rootkit removing tool 2.5.17.0 Aug 22 2011 15:46:57
2011/09/05 06:38:57.0812 3996	================================================================================
2011/09/05 06:38:57.0812 3996	SystemInfo:
2011/09/05 06:38:57.0812 3996	
2011/09/05 06:38:57.0812 3996	OS Version: 5.1.2600 ServicePack: 3.0
2011/09/05 06:38:57.0812 3996	Product type: Workstation
2011/09/05 06:38:57.0812 3996	ComputerName: AA-A3653F52E471
2011/09/05 06:38:57.0812 3996	UserName: tous
2011/09/05 06:38:57.0812 3996	Windows directory: C:\WINDOWS
2011/09/05 06:38:57.0812 3996	System windows directory: C:\WINDOWS
2011/09/05 06:38:57.0812 3996	Processor architecture: Intel x86
2011/09/05 06:38:57.0812 3996	Number of processors: 1
2011/09/05 06:38:57.0812 3996	Page size: 0x1000
2011/09/05 06:38:57.0812 3996	Boot type: Normal boot
2011/09/05 06:38:57.0812 3996	================================================================================
2011/09/05 06:38:59.0046 3996	Initialize success
2011/09/05 06:39:04.0343 3004	================================================================================
2011/09/05 06:39:04.0343 3004	Scan started
2011/09/05 06:39:04.0343 3004	Mode: Manual; 
2011/09/05 06:39:04.0343 3004	================================================================================
2011/09/05 06:39:05.0265 3004	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/05 06:39:05.0468 3004	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/09/05 06:39:05.0750 3004	aeaudio         (11c04b17ed2abbb4833694bcd644ac90) C:\WINDOWS\system32\drivers\aeaudio.sys
2011/09/05 06:39:05.0875 3004	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/09/05 06:39:06.0046 3004	Afc             (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2011/09/05 06:39:06.0250 3004	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/09/05 06:39:07.0328 3004	asuskbnt        (59453b241885552f645fdff4a72f868c) C:\WINDOWS\system32\drivers\atkkbnt.sys
2011/09/05 06:39:07.0531 3004	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/05 06:39:07.0703 3004	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/05 06:39:08.0000 3004	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/05 06:39:08.0156 3004	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/05 06:39:08.0343 3004	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/05 06:39:08.0750 3004	BtHidBus        (fcf500c9e89e193e038dcfcdba6aa032) C:\WINDOWS\system32\Drivers\BtHidBus.sys
2011/09/05 06:39:09.0312 3004	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/05 06:39:09.0453 3004	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/09/05 06:39:09.0703 3004	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/09/05 06:39:09.0890 3004	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/05 06:39:10.0015 3004	cdrbsdrv        (351735695e9ead93de6af85d8beb1ca8) C:\WINDOWS\system32\drivers\cdrbsdrv.sys
2011/09/05 06:39:10.0171 3004	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/09/05 06:39:11.0218 3004	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/05 06:39:11.0406 3004	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/05 06:39:11.0625 3004	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/05 06:39:11.0812 3004	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/05 06:39:11.0953 3004	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/09/05 06:39:12.0312 3004	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/09/05 06:39:12.0578 3004	EIO             (3782cd28b7221bdb77bcb8daedf63847) C:\WINDOWS\system32\drivers\EIO.sys
2011/09/05 06:39:12.0828 3004	F-Secure Filter (17496efae7a0c26ec258b9a5bff52785) C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys
2011/09/05 06:39:12.0937 3004	F-Secure Gatekeeper (b944feed1e1720da72f82695b0afb078) C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys
2011/09/05 06:39:13.0140 3004	F-Secure HIPS   (ff73cec7c496fdc3e49446ee6bd54779) C:\Program Files\F-Secure\HIPS\drivers\fshs.sys
2011/09/05 06:39:13.0281 3004	F-Secure Recognizer (dfeb026e5f5c2a1a9c4a56301021e3a4) C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys
2011/09/05 06:39:13.0453 3004	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/05 06:39:13.0625 3004	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/09/05 06:39:13.0765 3004	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/05 06:39:13.0921 3004	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/09/05 06:39:14.0015 3004	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/09/05 06:39:14.0171 3004	fsbts           (343786e182b9c9ae3066e00dec650f50) C:\WINDOWS\system32\Drivers\fsbts.sys
2011/09/05 06:39:14.0359 3004	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/05 06:39:14.0531 3004	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/05 06:39:14.0687 3004	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/09/05 06:39:14.0875 3004	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/05 06:39:15.0125 3004	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/05 06:39:15.0406 3004	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/05 06:39:15.0812 3004	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/09/05 06:39:16.0015 3004	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/05 06:39:16.0531 3004	intelppm        (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/05 06:39:16.0578 3004	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/09/05 06:39:16.0781 3004	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/05 06:39:16.0953 3004	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/09/05 06:39:17.0093 3004	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/05 06:39:17.0281 3004	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/09/05 06:39:17.0468 3004	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/05 06:39:17.0656 3004	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/05 06:39:17.0828 3004	IvtBtBUs        (71e1fc547cc488d5cd7bf0860c96f5af) C:\WINDOWS\system32\Drivers\IvtBtBus.sys
2011/09/05 06:39:17.0968 3004	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/05 06:39:18.0109 3004	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/09/05 06:39:18.0296 3004	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/05 06:39:18.0765 3004	LVcKap          (8113133ec42dd6c566908008ce913edd) C:\WINDOWS\system32\DRIVERS\LVcKap.sys
2011/09/05 06:39:19.0046 3004	LVMVDrv         (0dd5b8af4917a2821047450195c511b3) C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys
2011/09/05 06:39:19.0343 3004	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/05 06:39:19.0531 3004	Modem           (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/05 06:39:19.0703 3004	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/05 06:39:19.0812 3004	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/05 06:39:19.0984 3004	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/05 06:39:20.0250 3004	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/05 06:39:20.0484 3004	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/09/05 06:39:20.0718 3004	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/05 06:39:20.0859 3004	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/09/05 06:39:21.0015 3004	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/09/05 06:39:21.0171 3004	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/09/05 06:39:21.0296 3004	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/05 06:39:21.0421 3004	MSTEE           (d5059366b361f0e1124753447af08aa2) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/09/05 06:39:21.0609 3004	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/05 06:39:21.0781 3004	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/09/05 06:39:21.0968 3004	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/05 06:39:22.0125 3004	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/09/05 06:39:22.0281 3004	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/09/05 06:39:22.0453 3004	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/09/05 06:39:22.0609 3004	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/09/05 06:39:22.0781 3004	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/05 06:39:22.0953 3004	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/09/05 06:39:23.0093 3004	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/09/05 06:39:23.0390 3004	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/05 06:39:23.0593 3004	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/05 06:39:23.0828 3004	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/09/05 06:39:24.0062 3004	nv              (7fe3f1721856365c882dae13f3600223) C:\WINDOWS\system32\DRIVERS
v4_mini.sys
2011/09/05 06:39:24.0359 3004	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/09/05 06:39:24.0437 3004	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/09/05 06:39:24.0625 3004	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/09/05 06:39:24.0812 3004	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/05 06:39:24.0968 3004	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/09/05 06:39:25.0140 3004	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/05 06:39:25.0406 3004	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/05 06:39:25.0593 3004	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/09/05 06:39:26.0578 3004	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/09/05 06:39:26.0781 3004	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/09/05 06:39:26.0890 3004	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/05 06:39:27.0093 3004	PxHelp20        (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/09/05 06:39:27.0781 3004	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/09/05 06:39:27.0984 3004	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/09/05 06:39:28.0140 3004	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/09/05 06:39:28.0296 3004	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/09/05 06:39:28.0437 3004	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/09/05 06:39:28.0609 3004	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/05 06:39:28.0765 3004	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
2011/09/05 06:39:28.0953 3004	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/05 06:39:29.0125 3004	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/09/05 06:39:29.0390 3004	RT2500USB       (70aeec67e87a2002e6b2cc353d56e222) C:\WINDOWS\system32\DRIVERSt2500usb.sys
2011/09/05 06:39:29.0546 3004	SASDIFSV        (39763504067962108505bff25f024345) C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
2011/09/05 06:39:29.0593 3004	SASKUTIL        (77b9fc20084b48408ad3e87570eb4a85) C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
2011/09/05 06:39:29.0812 3004	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/05 06:39:30.0000 3004	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/05 06:39:30.0156 3004	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/09/05 06:39:30.0390 3004	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/09/05 06:39:30.0703 3004	SiS7012         (3fb1dbd8a787bb5afd8d4ec3c5701608) C:\WINDOWS\system32\drivers\sis7012.sys
2011/09/05 06:39:30.0906 3004	sisagp          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/09/05 06:39:31.0078 3004	SISNIC          (3fbb6ef8b5a71a2fa11f5f461bb73219) C:\WINDOWS\system32\DRIVERS\sisnic.sys
2011/09/05 06:39:31.0234 3004	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/09/05 06:39:31.0390 3004	smwdm           (3c8c1c6485a4a7e79a24ec688f1c4646) C:\WINDOWS\system32\drivers\smwdm.sys
2011/09/05 06:39:31.0843 3004	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/09/05 06:39:32.0015 3004	sptd            (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
2011/09/05 06:39:32.0015 3004	Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505
2011/09/05 06:39:32.0078 3004	sptd - detected LockedFile.Multi.Generic (1)
2011/09/05 06:39:32.0203 3004	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/09/05 06:39:32.0406 3004	Srv             (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/05 06:39:32.0656 3004	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/09/05 06:39:32.0781 3004	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/05 06:39:32.0968 3004	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/09/05 06:39:33.0609 3004	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/09/05 06:39:33.0859 3004	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/09/05 06:39:34.0046 3004	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/05 06:39:34.0203 3004	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/05 06:39:34.0296 3004	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/09/05 06:39:34.0671 3004	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/05 06:39:34.0906 3004	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/05 06:39:35.0156 3004	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/09/05 06:39:35.0328 3004	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/05 06:39:35.0500 3004	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/05 06:39:35.0687 3004	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/05 06:39:35.0859 3004	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/09/05 06:39:36.0015 3004	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/09/05 06:39:36.0187 3004	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/05 06:39:36.0359 3004	usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
2011/09/05 06:39:36.0750 3004	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/09/05 06:39:37.0000 3004	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/09/05 06:39:37.0234 3004	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/05 06:39:37.0515 3004	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/09/05 06:39:37.0984 3004	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/09/05 06:39:38.0125 3004	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/09/05 06:39:38.0312 3004	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/09/05 06:39:38.0484 3004	MBR (0x1B8)     (c99c3199cfaa4cbdcd91493f6d113a50) \Device\Harddisk0\DR0
2011/09/05 06:39:38.0734 3004	MBR (0x1B8)     (c99c3199cfaa4cbdcd91493f6d113a50) \Device\Harddisk1\DR1
2011/09/05 06:39:38.0812 3004	Boot (0x1200)   (c929ac98fc5075c233076846adc29fc6) \Device\Harddisk0\DR0\Partition0
2011/09/05 06:39:38.0875 3004	Boot (0x1200)   (a0c9511dfc8beacc4bd075c2716eac7f) \Device\Harddisk0\DR0\Partition1
2011/09/05 06:39:38.0921 3004	Boot (0x1200)   (fea7b660ab054aa3da71ad5a890bee70) \Device\Harddisk0\DR0\Partition2
2011/09/05 06:39:38.0968 3004	Boot (0x1200)   (23a934ccac964914b312553c36adf9d8) \Device\Harddisk1\DR1\Partition0
2011/09/05 06:39:39.0031 3004	Boot (0x1200)   (6829fa913641d1cd5ba89f82268f7abc) \Device\Harddisk1\DR1\Partition1
2011/09/05 06:39:39.0046 3004	================================================================================
2011/09/05 06:39:39.0046 3004	Scan finished
2011/09/05 06:39:39.0046 3004	================================================================================
2011/09/05 06:39:39.0125 6056	Detected object count: 1
2011/09/05 06:39:39.0125 6056	Actual detected object count: 1
2011/09/05 06:52:24.0984 6056	LockedFile.Multi.Generic(sptd) - User select action: Skip 
2011/09/05 06:52:47.0109 1392	Deinitialize success

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

fonkylaflamme · Answer

Rapport OTL

http://www.cijoint.fr/cjlink.php?file=cj201109/cijeqFKt2T.txt

Rapport Extras 

http://www.cijoint.fr/cjlink.php?file=cj201109/cijA6cUg0V.txt

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

fonkylaflamme · Answer

Voila le rapport de Pre_Scan 

http://www.cijoint.fr/cjlink.php?file=cj201109/cijukMn158.txt

edit: je dois y allez, je reviens plus tard pour continuer, merci de ton aide :)

fonkylaflamme · Answer

Hello, Vshare est dangereux pour l'ordi? Je l'avais installé pour regarder du sports en streaming, mais bon je peux le désinstaller si c'est nuisible.

Par contre Everest Poker il est la volontairement, je joue au poker et y fais partie des rooms sur lesquelles je joue.

Bon je commence, si Everest Poker est supprimé pas grave je le remettrais.

g3n-h@ckm@n · Answer

salut pour te situer un peu ces logiciels voici un condensé de ce que je t'ai fait virer

[HKEY_CURRENT_USER\Software\Grand Virtual]    => Infection PUP (PUP.GrandVirtual)
[HKEY_CURRENT_USER\Software\vShare]    => Infection BT (Parasite.Pugi)
[HKEY_CURRENT_USER\Software\Zugo]    => Infection Diverse (Adware.Zugo)
[15/09/2008|14:54:02] | C:\RESTORE    => Infection Diverse (Win32.IRCBot.hlg)
[19/02/2011|19:29:11] | C:\WINDOWS\SwSys1.bmp    => Infection Diverse
[19/02/2011|19:29:11] | C:\WINDOWS\SwSys2.bmp    => Infection Diverse
[19/08/2008|15:38:26] | C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker    => Infection BT (PUP.Casino)
[24/10/2010|05:10:23] | C:\Documents and Settings	ous\Application Data\vShare    => Infection BT (Parasite.Pugi)
[15/07/2008|15:21:05] | C:\Program Files\Everest Poker    => Infection BT (PUP.Casino)
[24/10/2010|05:10:19] | C:\Program Files\vShare    => Infection BT (Parasite.Pugi)

fonkylaflamme · Answer

Salut, vois-tu encore quelque chose qui pourrait m'empêcher d'activer les MaJ Windows?

Et aussi quand on aura finis, faudra que tu m'aides a virer les restes des programmes, dans mon C: j'ai encore des trucs de Combofix, Kill'Em et d'autres trucs mais bon je les supprime pas tant que je sais pas quoi :)

g3n-h@ckm@n · Answer

hello

qui pourrait m'empêcher d'activer les MaJ Windows? 

heu...c'est volontaire ??????

fonkylaflamme · Answer

Non désolé c'est vrai que ma phrase est un peu mal foutue, non je voulais dire voit-tu encore quelque chose qui m'empêche d'activer les MaJ, car cela ne marche toujours pas.

g3n-h@ckm@n · Answer

refais un scan OTL stp

fonkylaflamme · Answer

Hello, voici les nouveaux scans 

OTL : http://www.cijoint.fr/cjlink.php?file=cj201109/cijkmwiiwL.txt

Extras : http://www.cijoint.fr/cjlink.php?file=cj201109/cijfYdKhAc.txt

g3n-h@ckm@n · Answer

telecharge winupdateFix d' Xplode , coche sur tous puis executer

https://toolslib.net

fonkylaflamme · Answer

Ok ca a marché les MaJ remarche, pourtant j'ai eu un message d'erreur après avoir fermé winupdateFix mais j'ai pas pu le lire vu qu'il m'avait demandé de redemarrer c'était déja parti, mais bon apparemment tout va bien, j'ai finis les 31 mises à jours (lol)

Dois-je maintenant faire autre chose? Ou c'est ok? Merci

g3n-h@ckm@n · Answer

refais OTL

fonkylaflamme · Answer

Les rapports

OTL 
http://www.cijoint.fr/cjlink.php?file=cj201109/cijB1uGVjt.txt
Extras 
http://www.cijoint.fr/cjlink.php?file=cj201109/cijSWitW3U.txt

g3n-h@ckm@n · Answer

t'as pas installé internet explorer 8

fonkylaflamme · Answer

Hello G3n-h@ckm@n, alors comment se passe les désinfections cette nuit :)?

Désolé de répondre avec un grand délai mais je suis pas souvent sur l'ordi ces jours ci.

Oui IE8 je suis pas chaud de l'installer, il est un peu différent du mien et ca me plait pas vraiment, j'ai mes habitudes :)

g3n-h@ckm@n · Answer

oui mais le 7 est plein de failles de securités que le 8 a bouché :)

fonkylaflamme · Answer

Voila je suis passé sur le 8, on va pas négliguer la sécurité :)

g3n-h@ckm@n · Answer

ok super refais un scan OTL

fonkylaflamme · Answer

Hello G3n-h@ckm@n, voila le scan OTL (y va finir par s'user à force de le passer haha^^

http://www.cijoint.fr/cjlink.php?file=cj201109/cijShvovkp.txt

http://www.cijoint.fr/cjlink.php?file=cj201109/cijt1OE7Ie.txt

g3n-h@ckm@n · Answer

hello

quels soucis restent ? je ne vois plus rien de nefaste sur ton rapport

à part peut-etre superAntispyware qui super rien du tout mais bon.....

fonkylaflamme · Answer

Hello, plus aucun soucis, oui Super je l'avais mis car MBAM plantait mais je savais bien qu'il était pas terrible.

Sinon j'ai souvent un soucis de l'ecran qui s'eteint aléatoirement après avoir allumé l'ordi mais je pense que c'est un soucis matériel donc bon.

Sinon y reste les fichiers qui sont venu avec les programmes de désinfection, je peux les supprimer sans problème?

g3n-h@ckm@n · Answer

re Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujets intéressants à lire : https://www.luanagames.com/index.fr.html https://forum.malekal.com/viewtopic.php?t=13629&start= il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

fonkylaflamme · Answer

Hello G3n-H@ckm@n

J'ai passé PureRa donc voila la ligne

Total space cleaned: 363049182 bytes

Par contre j'ai perdu le rapport de DelFix, je l'ai désinstallé un peu trop vite je crois, mais bon le rapport était normal il a retiré Killem, Pre scan, winupdatefix, et d'autres

Je vais commencer a passer Ccleaner mais ça a l'air super long donc je verrais quand je le passerais.

Par contre j'ai encore différents fichiers qui sont venus avec les programmes ici dont je sais pas trop quoi faire :

-Un dossier FLAMME avec divers fichiers, ca c'était avec ComboFix.

-Différents fichiers dont voila les noms : boot.ini, boot.bak, bootfont, "cmldr"(fichier inconnu), un fichier IO (inconnu), MSDOS (pareil inconnu), NTDETECT (MS-DOS application), un fichier "ntdlr" (inconnu)

C'était en début de désinfection, je me demande si c'est pas ComboFix aussi, enfin bon.

Je dois les supprimer? merci

g3n-h@ckm@n · Answer

boot.ini, boot.bak, bootfont, "cmldr"(fichier inconnu), un fichier IO (inconnu), MSDOS (pareil inconnu), NTDETECT (MS-DOS application), un fichier "ntdlr" (inconnu) 

ceci sont des fichiers vitaux de windows

supprime ca et tu demarres plus jamais

à la fin il est indiqué comment recacher les fichiers cachés , ils disparaitront avec cettte action :)

le dossier avec la flamme se trouve ou ?

fonkylaflamme · Answer

Tout ces fichiers la sont dans C:\  juste a coté de Program Files, WINDOWS et Documents and Settings, j'ai aussi un dossiers "cmdcons" dedans.

Pour les paramètres des fichiers cachés tout est déja comme indiqué, on avait pas touché à ça.

Avant dans mon C:\ j'avais juste Program Files, WINDOWS et Documents and Settings pourtant.

Le dossier FLAMME est aussi dans C:\, c'est l'helper Moment de Grace qui m'avait demandé de renommer Combofix puis ce dossier s'est crée.

g3n-h@ckm@n · Answer

il faut que tu recaches les fichiers cachés

fonkylaflamme · Answer

Hello, oui oui j'ai bien le truc activé sur caché, tu peux le vérifier ici :

http://imageshack.us/photo/my-images/822/print1w.jpg/

J'ai aussi fais un print pour montrer mon C:\ au cas ou :

http://imageshack.us/photo/my-images/80/print2z.jpg/

g3n-h@ckm@n · Answer

telecharge ca :

http://dl.dropbox.com/u/21363431/attrib.bat

mets-le dans c: et execute-le

ca devrait refaire disparaitre les fichiers qui t'embetent dans c:

fonkylaflamme · Answer

Hello G3n 

Alors je l'ai fais mais la fenetre noire s'ouvre, puis y a la ligne  

"C:\>attrib +H cmdcons" qui clignote mais y se passe rien je l'ai laissé tourner genre 2h. 

Sinon moi ces fichiers je peux les laisser la mais bon y sont dans C: et bon c'est un peu trop facilement atteignable et je suis pas seul sur l'ordi, si quelqu'un les supprime par erreur ou quoi... 

Ca devrait pas être dans WINDOWS ça? Avant je les avait pas dans C: tout court en tout cas.

g3n-h@ckm@n · Answer

re

supprime-le , retelecharge-le puis execute-le

j'avais oublié un petit detail , il ne risquait pas de fonctionner

fonkylaflamme · Answer

J'ai retelechargé le fichier mais aucun changement.

C'est censé faire quoi? déplacer les fichiers? les cacher?

g3n-h@ckm@n · Answer

reessaie en desactivant tes protections

fonkylaflamme · Answer

Salut, désolé du retard.

Pas de changements même en désactivant mes protections

g3n-h@ckm@n · Answer

et tes fichiers sont toujours apparents ?

fonkylaflamme · Answer

Oui toujours.

g3n-h@ckm@n · Answer

tu es sur de bien l'avoir executé avec le clic droit "executer en tant qu'administrateur" ?

fonkylaflamme · Answer

Tu ne m'avait pas dit de l'executer ainsi, je suis sous xp, je dois quand même l'ouvrir comme ça?

Oula j'ai recu un message de mon antivirus la, qui a apparemment supprimé un Trojan, alors que j'étais sur un site ou je vais tout les jours, j'avais plus eu de messages de mon antivirus depuis plusieurs mois, j'espère qu'il l'a bien viré...

g3n-h@ckm@n · Answer

Configuration: Windows 7 / Internet Explorer 8.0

fonkylaflamme · Answer

Je sais pas quel programme t'as indiqué cela mais c'est une erreur :)

Je suis bien sous XP.

g3n-h@ckm@n · Answer

plus d'infos la desus ? 

https://forums.commentcamarche.net/forum/affich-21473724-et-oui-xp-security-2011?page=6#131 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Et oui xp security 2011...

119 réponses

Votre réponse

Discussions similaires

Newsletters