Impossible de lancer les .exe Résolu/Fermé

Question

Bonjour,  

Gros soucis, je n'arrive plus à lancer les .exe et je n'ai plus d'icones sur le bureau. 
En mode sans echec cela fonctinne. 
qui aurait une piste pur solutionner ce gros problème ? 
Merci 

Ci dessous le rapport de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:08:29, on 04/05/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Smart91 · Answer

Bonjour,

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe (en mode normal)
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart

negrie · Answer

Merci Smart91 pour ta réponse. Voici donc copie du rapport de Roguekiller : RogueKiller V5.1.0 [02/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 SerWDemarrage : Mode sans echec avec prise en charge reseau Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date : 04/05/2011 15:26:18 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

Smart91 · Answer

Est que tu as essyé de lancer " RogueKiller en mode normal, comme demandé, et pas en mode sans echec
Si cela ne passe pas renomme le en winlogon.exe

Smart

negrie · Answer

Je l'ai renommé, mais aucune icones ne s'affiche sur le bureau en mode normal.

Smart91 · Answer

Veux-tu dire que tu vois pas RogueKiller sur ton bureau ? même renommé en winlogon.exe

Smart

negrie · Answer

exact, je n'ai aucune icone.

negrie · Answer

Précision, je viens de m'apercevoir qu'en ouvrant xp avec la session administrateur les icones étaient revenues  et que les programmes s'exécutaient normalement ;)
Faut il que je supprime le compte pour lequel j'ai le pb ?
Merci

Smart91 · Answer

Cela veut dire que le processus malicieux se lance sur l'autre sesssion
Mais tu n'as pas répondu à ma question.
Je voudrais le savoir
Et si tu ne vois pas toujous pas roguekiller l'autre session.
lance RogueKiller depuis la session administrateur et sposte le rapport

Smart

negrie · Answer

voilà dsl pour le retard ;) RogueKiller V5.1.0 [02/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 SerWDemarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date : 04/05/2011 21:29:49 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Tigzy · Answer

Hello

Gros soucis, je n'arrive plus à lancer les .exe et je n'ai plus d'icones sur le bureau.  = Windows Recovery + TDSS

:)

Smart91 · Answer

Tu vas faire ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Smart

negrie · Answer

Voila le résultat

2011/05/05 16:47:17.0953 0624	TDSS rootkit removing tool 2.5.0.0 May  1 2011 14:20:16
2011/05/05 16:47:18.0265 0624	================================================================================
2011/05/05 16:47:18.0296 0624	SystemInfo:
2011/05/05 16:47:18.0296 0624	
2011/05/05 16:47:18.0296 0624	OS Version: 5.1.2600 ServicePack: 3.0
2011/05/05 16:47:18.0296 0624	Product type: Workstation
2011/05/05 16:47:18.0296 0624	ComputerName: MAMIEJO
2011/05/05 16:47:18.0328 0624	UserName: Administrateur
2011/05/05 16:47:18.0328 0624	Windows directory: C:\WINDOWS
2011/05/05 16:47:18.0328 0624	System windows directory: C:\WINDOWS
2011/05/05 16:47:18.0328 0624	Processor architecture: Intel x86
2011/05/05 16:47:18.0328 0624	Number of processors: 1
2011/05/05 16:47:18.0328 0624	Page size: 0x1000
2011/05/05 16:47:18.0359 0624	Boot type: Normal boot
2011/05/05 16:47:18.0359 0624	================================================================================
2011/05/05 16:47:18.0609 0624	Initialize success
2011/05/05 16:47:21.0484 0848	================================================================================
2011/05/05 16:47:21.0484 0848	Scan started
2011/05/05 16:47:21.0484 0848	Mode: Manual; 
2011/05/05 16:47:21.0484 0848	================================================================================
2011/05/05 16:47:22.0500 0848	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/05 16:47:22.0609 0848	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/05/05 16:47:22.0781 0848	ADIHdAudAddService (4e12c97cbfe99be15d7680918f9899ec) C:\WINDOWS\system32\drivers\ADIHdAud.sys
2011/05/05 16:47:23.0031 0848	AEAudio         (fff87a9b1ab36ee4b7bec98a4cb01b79) C:\WINDOWS\system32\drivers\AEAudio.sys
2011/05/05 16:47:23.0156 0848	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/05/05 16:47:23.0218 0848	AFD             (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/05/05 16:47:23.0343 0848	AgereSoftModem  (90456051c422e09bc36e6340dd891f0c) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
2011/05/05 16:47:23.0953 0848	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/05/05 16:47:24.0265 0848	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/05 16:47:24.0328 0848	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/05 16:47:24.0500 0848	ati2mtag        (d0c00ee032994b698b47837a3561717a) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/05/05 16:47:24.0578 0848	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/05 16:47:24.0687 0848	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/05 16:47:24.0828 0848	AVGIDSDriver    (646cccd12886facb8676bdd9b7d54e29) C:\WINDOWS\system32\DRIVERS\AVGIDSDriver.Sys
2011/05/05 16:47:24.0859 0848	AVGIDSEH        (1af676db3f3d4cc709cfab2571cf5fc3) C:\WINDOWS\system32\DRIVERS\AVGIDSEH.Sys
2011/05/05 16:47:24.0890 0848	AVGIDSFilter    (4c51e233c87f9ec7598551de554bc99d) C:\WINDOWS\system32\DRIVERS\AVGIDSFilter.Sys
2011/05/05 16:47:24.0921 0848	AVGIDSShim      (c3fc426e54f55c1cc3219e415b88e10c) C:\WINDOWS\system32\DRIVERS\AVGIDSShim.Sys
2011/05/05 16:47:25.0031 0848	Avgldx86        (4e796d3d2c3182b13b3e3b5a2ad4ef0a) C:\WINDOWS\system32\DRIVERS\avgldx86.sys
2011/05/05 16:47:25.0078 0848	Avgmfx86        (5639de66b37d02bd22df4cf3155fba60) C:\WINDOWS\system32\DRIVERS\avgmfx86.sys
2011/05/05 16:47:25.0093 0848	Avgrkx86        (ffbe8adeb1fd8640540bf6e4a137b3ef) C:\WINDOWS\system32\DRIVERS\avgrkx86.sys
2011/05/05 16:47:25.0156 0848	Avgtdix         (69e6adf5cbbdeb5f2b727c93937a5823) C:\WINDOWS\system32\DRIVERS\avgtdix.sys
2011/05/05 16:47:25.0203 0848	b57w2k          (133ad3794572bce689763a8356c7ed06) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/05/05 16:47:25.0296 0848	BCM43XX         (37f385a93c620cbe0f89c17e45f697a1) C:\WINDOWS\system32\DRIVERS\bcmwl5.sys
2011/05/05 16:47:25.0359 0848	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/05 16:47:25.0437 0848	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/05 16:47:25.0500 0848	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/05 16:47:25.0562 0848	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/05 16:47:25.0640 0848	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/05/05 16:47:25.0796 0848	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/05/05 16:47:25.0859 0848	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/05/05 16:47:26.0203 0848	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/05 16:47:26.0281 0848	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/05 16:47:26.0328 0848	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\DRIVERS\dmio.sys
2011/05/05 16:47:26.0375 0848	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/05 16:47:26.0421 0848	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/05 16:47:26.0578 0848	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/05 16:47:26.0640 0848	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/05 16:47:26.0750 0848	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/05/05 16:47:26.0781 0848	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/05 16:47:26.0859 0848	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/05/05 16:47:27.0015 0848	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/05/05 16:47:27.0203 0848	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/05 16:47:27.0328 0848	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/05 16:47:27.0453 0848	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/05 16:47:27.0546 0848	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/05/05 16:47:27.0687 0848	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/05/05 16:47:27.0765 0848	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/05 16:47:27.0921 0848	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/05 16:47:28.0093 0848	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/05/05 16:47:28.0265 0848	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/05/05 16:47:28.0296 0848	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/05 16:47:28.0343 0848	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/05 16:47:28.0375 0848	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/05 16:47:28.0406 0848	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/05 16:47:28.0468 0848	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/05 16:47:28.0578 0848	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/05 16:47:28.0609 0848	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/05 16:47:28.0703 0848	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/05 16:47:28.0765 0848	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/05 16:47:28.0890 0848	Lavasoft Kernexplorer (6c4a3804510ad8e0f0c07b5be3d44ddb) C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys
2011/05/05 16:47:28.0953 0848	Lbd             (336abe8721cbc3110f1c6426da633417) C:\WINDOWS\system32\DRIVERS\Lbd.sys
2011/05/05 16:47:29.0109 0848	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/05 16:47:29.0171 0848	Modem           (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/05 16:47:29.0203 0848	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/05 16:47:29.0234 0848	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/05/05 16:47:29.0265 0848	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/05 16:47:29.0296 0848	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/05 16:47:29.0375 0848	MRxSmb          (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/05 16:47:29.0421 0848	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/05 16:47:29.0453 0848	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/05 16:47:29.0484 0848	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/05 16:47:29.0515 0848	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/05 16:47:29.0562 0848	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/05 16:47:29.0578 0848	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/05 16:47:29.0609 0848	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/05 16:47:29.0625 0848	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/05/05 16:47:29.0671 0848	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/05/05 16:47:29.0703 0848	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/05/05 16:47:29.0750 0848	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/05 16:47:29.0765 0848	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/05/05 16:47:29.0812 0848	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/05/05 16:47:29.0859 0848	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS
ic1394.sys
2011/05/05 16:47:29.0890 0848	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/05 16:47:29.0906 0848	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/05 16:47:29.0953 0848	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/05 16:47:29.0984 0848	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/05/05 16:47:30.0015 0848	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/05/05 16:47:30.0046 0848	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/05/05 16:47:30.0078 0848	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/05/05 16:47:30.0125 0848	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/05 16:47:30.0156 0848	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/05 16:47:30.0187 0848	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/05 16:47:30.0218 0848	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/05 16:47:30.0250 0848	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
2011/05/05 16:47:30.0843 0848	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/05/05 16:47:30.0890 0848	Processor       (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/05/05 16:47:30.0906 0848	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/05 16:47:30.0937 0848	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/05 16:47:31.0046 0848	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/05/05 16:47:31.0078 0848	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/05/05 16:47:31.0109 0848	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/05/05 16:47:31.0156 0848	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/05/05 16:47:31.0187 0848	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/05/05 16:47:31.0203 0848	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/05 16:47:31.0234 0848	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
2011/05/05 16:47:31.0281 0848	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/05 16:47:31.0312 0848	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/05/05 16:47:31.0390 0848	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/05 16:47:31.0421 0848	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
2011/05/05 16:47:31.0453 0848	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/05 16:47:31.0562 0848	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/05 16:47:31.0593 0848	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/05 16:47:31.0656 0848	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/05 16:47:31.0687 0848	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/05 16:47:31.0781 0848	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/05 16:47:32.0015 0848	SynTP           (1de40024679cde0e573465253519730e) C:\WINDOWS\system32\DRIVERS\SynTP.sys
2011/05/05 16:47:32.0062 0848	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/05 16:47:32.0203 0848	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/05/05 16:47:32.0281 0848	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/05 16:47:32.0328 0848	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/05 16:47:32.0359 0848	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/05/05 16:47:32.0437 0848	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/05 16:47:32.0609 0848	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/05 16:47:32.0718 0848	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/05/05 16:47:32.0875 0848	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/05 16:47:32.0921 0848	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/05 16:47:32.0953 0848	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/05/05 16:47:33.0000 0848	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/05/05 16:47:33.0062 0848	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/05 16:47:33.0109 0848	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/05 16:47:33.0140 0848	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/05 16:47:33.0234 0848	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/05 16:47:33.0328 0848	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/05 16:47:33.0359 0848	Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/05/05 16:47:33.0437 0848	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/05 16:47:33.0687 0848	WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2011/05/05 16:47:33.0812 0848	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/05/05 16:47:33.0843 0848	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/05/05 16:47:34.0531 0848	================================================================================
2011/05/05 16:47:34.0531 0848	Scan finished
2011/05/05 16:47:34.0531 0848	================================================================================

Smart91 · Answer

Il va être coriace celui-ci. TDSSKIller ne détecte rien
Tu vas faire ceci:
Télécharge mbr de GMER doit être sur le bureau : http://www2.gmer.net/mbr/mbr.exe


*Ouvres le Bloc-Notes et copie / colle ce qu'il y a ci-dessous :
@ECHO OFF
mbr -c 0 1 copy_mbr
EXIT
*Enregistre le fichier sur ton bureau sous le nom dump.cmd (le .cmd à la fin est important)
*Double clic sur dump.cmd, ça doit ouvrir une fenêtre noir qui va se refermer.

Cela va créer un fichier copy_mbr sur le bureau.
Ensuite va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- et sélectionne le fichier copy_mbr qui est sur ton bureau
- Clique sur Send File et puis reanalyze si demandé
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Smart

Smart91 · Answer

Tu peux poster le lien VT STP, parce que là je ne sais pas de quel fichier il s'agit et il me manque des infos

Smart

Smart91 · Answer

Comme le lien est trop grand et que tu n'es pas inscrit sur le site il faut mettre le lien en deux parties 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Le mbr n'a pas l'air d'être infecté. C'est uine bonne chose mais il faut trouver une autre piste
Tu va faire un scan VT sur ce fichier:
C:\WINDOWS\system32\drivers\volsnap.sys

Smart

Smart91 · Answer

Bon le fichier est sain.

On va reprendre depuis le début.

Tu vas faire ceci:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Smart91 · Answer

Tu as bien fait.

Tu vas faire ceci:

 * Télécharge FixLop de NicoVA. 
* Lance l'installateur
* Clique deux fois sur Suivant puis cocher "Créer un icône sur le bureau"
* Clique sur Installer
* Clique enfin sur Terminer
* Clique sur "Recherche"
* Un rapport va s'afficher à la fin : Scan.txt sous C:\
* Colle le rapport dans ta prochaine réponse

Smart

Smart91 · Answer

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At1.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At2.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At3.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At4.job
HiddenFix

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite redémarre le PC

Smart

Smart91 · Answer

Reémarre le PC  avec l'autre session et dis moi si tu as toujours le même pb

Smart

Smart91 · Answer

Tu as une nouvelle version d'un rogue assez coriace et on plusierus sur le coup.
Toujours en session utilisateur, est-ce que tu as le menu démarrer
 Si oui tu cliques sur démarrer ensuite sur exécuter et tu tapes cmd puis entrée
Dans la fenêtre noire tu vas faire ceci:
cd bureau puis entrée
roguekiller puis entrée (si tu as changé le nom en winlogon tu tapes winlogon)

La fenêtre RogueKiller s'ouvre et tu choisis l'option 2
Tu relances RogueKiller et tu choisis l'option 6
Et tu postes les rapports 

Smart

Smart91 · Answer

Ok Mais tu l'as lancé sous la session administrateur, j'aurais voulu que tu le fasses sous l'autre session infectée.

C'est pour cela que je t'avais demandési tu voyais le menu démarrer

Smart

Smart91 · Answer

L'association .exe est corrompue;

Toujour sous la session infectée
Tu vas faire ceci:
Télécharge RstAssociations ( version .scr ) sur ton bureau. 

Lance le (Si tu le vois), patiente pendant le chargement puis coche " exe " 

Clique sur [Restaurer] , le rapport et indique moi si cela a résolu ton problème.

Si tu ne le vois pas sur ton bureau.
Démarrer > Poste de travail > Disque c: > Documents and settings > Nom de la session infecté > Bureau > Et doublle clic sur RSTassociations.src
patiente pendant le chargement puis coche " exe " 
Clique sur [Restaurer] , le rapport et indique moi si cela a résolu ton problème

"Si je supprime la session infectée, cela supprimera t il les virus ?"
Je n'en suis pas sûr. Sur ta session infecté un processus néfaste se charge. Il faut trouver pourquoi et comment. On pourra toujours faire l'essai. je vais demander d'autres avis

Smart

Smart91 · Answer

Super on avance .

Maintenant lance RogueKiller et choisis l'option 6


Smart

Smart91 · Answer

On va mettre la dernière version de Roguekiller qui date d'aujourd'hui
Supprime Rogue Killer et retélécharge le sur le bureau==>
https://www.luanagames.com/index.fr.html

Lance le avec l'otion 6 et poste le rapport

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

On récapitule

1. On a reussi à lancer les fichiers .exe
2. Le bureau est vide. normalement ceci interient quand le driver volsnap.sys est infecté. Or quand on a fait un scan VT, le fchier est sain. Il se peut que le rootkit modifie également une autre API et envoit le fichier comme sain.

Tu vas faire ceci:

Avant de commencer, fais une sauvegarde de tous tes documents 

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

Smart91 · Answer

CF n'a pas trouvé de fichier Volsnap.sys infecté.

Tu vas faire ceci:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Smart91 · Answer

Le rapport rapport ne montre  rien d'infectieux à part des restes d'un adware 

J'ai une question est-ce que tu peux faire une copie d'écran du bureau
 
Ensuite tu ouvres ce dossier:  
C:\Documents and Settings\MAMIE\bureau 
Et tu fais également une copie d'écran. 
tu postes ces deux copies d'écran via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

J'ai demandé de l'aide. et je reviens vers toi

Smart

gen-hackman · Answer

salut peut etre une chance avec ceci ?

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

gen-hackman · Answer

le bureau est conforme....

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: c:\windows\SETD7.tmp c:\windows\SETCB.tmp c:\windows\SETC8.tmp [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cpqset"=- "Adobe Reader Speed Launcher"=- "HP Software Update"=- [HKEY_LOCAL_MACHINE\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableNotifications"=DWORD:0x00000000 ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

gen-hackman · Answer

pourquoi y'a pas de "s" à :

c:\windows\system32\drivers\etc\host

.??????

Smart91 · Answer

En fait je m'adressais à Gen, tu vas faire ceci:

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart

Smart91 · Answer

Bon je pense que cela n'a pas dû régler le pb
On va essayer une dernière cartouche;

Télécharge RSTshell:
http://www.general-changelog-team.fr/...

Lance le, clique su "Restaurer" et poste le rapport

Smart

Smart91 · Answer

Redémarre le PC et dis moi si tu as ton bureau

Smart

Smart91 · Answer

Pour ne plus avoir ce message mais je ne pense pas que tu vas récupérer ton bureau  
Fais ceci:  
Clique sur Démarrer ensuite Exécuter, tu tapes msconfig puis entrée  
Sélectionne l'onglet démarrage  
Décoche la ligne où se trouve desktop.ini  
Clique sur OK pour valider.  
Redémarre le PC  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

On va vérifier qq chose:

1- clic droit sur le bureau, puis "réorganiser les icones par" et vérifies que la case "Afficher les icones sur le bureau" est cochée 

Si elle cocchée

2- Panneau de configuration\Affichage, dans la fenêtre qui sort prends l'anglet "Bureau", puis clique sur un bouton, en bas, intitulé "Personnalisation du bureau". Dans cette nouvelle fenêtre, parmi l'ensemble "Icônes du Bureau", coche les élément que tu veux afficher.


Smart

Smart91 · Answer

Oui essaie de désinstaller Firefox et réinstalle le
Ensuite relance ZHPDiag clique sur la flèche pour la mise à jour, refais un scan et poste le rapport 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

On va suppimer les dernières traces: - Ferme toutes tes applications en cours - Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html Copie/colle les lignes en gras suivantes : ---------------------------------------------------------- [HKCU\Software\PopCap] O67 - Shell Spawning: <.exe> [HKCU\..\open\Command] "%1" %* (.not file.) ---------------------------------------------------------- - Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes - Clique sur le bouton « GO » pour le lancer le nettoyage - Copie/colle la totalité du rapport dans ta prochaine réponse Désinstralle également AD-Aware de Lavasoft, il ne sert à rin et ne fait que ralentir ton PC Redémarre le PC. Ensuite on va passer à la phase finale. il nous reste à faire: - les mises à jour prioritaires - l'optimisation du PC - la désinstallation des outils de désinfection - les conseils de prévention quand on surfe sur Internet Smart "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

C'est OK. On va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Pour les mises à jour prioritaies c'est OK.
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

OPtimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKLM\..\Run: [Cpqset] . (...) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] ; C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (.not file.)
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1960408961-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
CTFDisabled
EmptyTemp
EmptyFlash
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

 1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox 
==> http://www.mozilla-europe.org/fr/firefox/

Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/... 

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection


Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Smart91 · Answer

Tu es sur d'avoir bien fait ZHPFic car le premier rapport que tu as posté, c'est le script que j'ai fait. ce n'est pas le rapport. 
Mais comme tu as passé DelFix ensuite tu ne dois plus avoir le rapport 
On va  partir du principe que tout s'est bien passé et que tu t'es trompé quand tu as posté le rapport 
Fais la suite et tu peux mattre en résolu 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Impossible de lancer les .exe

42 réponses

Discussions similaires

Newsletters