Impossible de lancer les .exe

Résolu/Fermé

negrie - Modifié par negrie le 4/05/2011 à 10:15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 14 mai 2011 à 17:42

Bonjour,

Gros soucis, je n'arrive plus à lancer les .exe et je n'ai plus d'icones sur le bureau.
En mode sans echec cela fonctinne.
qui aurait une piste pur solutionner ce gros problème ?
Merci

Ci dessous le rapport de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:08:29, on 04/05/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

A voir également:

Impossible de lancer les .exe
Svchost exe - Guide
.Exe - Télécharger - Divers Utilitaires
Frst64.exe - Télécharger - Sécurité
Bat to exe converter - Télécharger - Édition & Programmation
Qu'est ce qui se lance au démarrage de l'ordinateur - Guide

42 réponses

Réponse 21 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
8 mai 2011 à 22:48

Tu as une nouvelle version d'un rogue assez coriace et on plusierus sur le coup.
Toujours en session utilisateur, est-ce que tu as le menu démarrer
Si oui tu cliques sur démarrer ensuite sur exécuter et tu tapes cmd puis entrée
Dans la fenêtre noire tu vas faire ceci:
cd bureau puis entrée
roguekiller puis entrée (si tu as changé le nom en winlogon tu tapes winlogon)

La fenêtre RogueKiller s'ouvre et tu choisis l'option 2
Tu relances RogueKiller et tu choisis l'option 6
Et tu postes les rapports

Smart

negrie
8 mai 2011 à 22:55

voila apres avoir fait 2

contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 08/05/2011 22:54:03

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[3].txt >>
RKreport[2].txt ; RKreport[3].txt

negrie
8 mai 2011 à 22:56

et après 6

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 08/05/2011 22:55:58

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 8 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 0 / Fail 0

Réponse 22 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
8 mai 2011 à 23:16

Ok Mais tu l'as lancé sous la session administrateur, j'aurais voulu que tu le fasses sous l'autre session infectée.

C'est pour cela que je t'avais demandési tu voyais le menu démarrer

Smart

negrie
9 mai 2011 à 08:58

Bonjour Smart,
A partir de la session infectée j'ai accès à Démarrer, exécuter, je tape cmd et là il ouvre la fenêtre "ouvrir avec " avec la liste des pgms installés sur l'ordi.

Si je supprime la session infectée, cela supprimera t il les virus ?
Merci

Réponse 23 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
9 mai 2011 à 09:59

L'association .exe est corrompue;

Toujour sous la session infectée
Tu vas faire ceci:
Télécharge RstAssociations ( version .scr ) sur ton bureau.

Lance le (Si tu le vois), patiente pendant le chargement puis coche " exe "

Clique sur [Restaurer] , le rapport et indique moi si cela a résolu ton problème.

Si tu ne le vois pas sur ton bureau.
Démarrer > Poste de travail > Disque c: > Documents and settings > Nom de la session infecté > Bureau > Et doublle clic sur RSTassociations.src
patiente pendant le chargement puis coche " exe "
Clique sur [Restaurer] , le rapport et indique moi si cela a résolu ton problème

"Si je supprime la session infectée, cela supprimera t il les virus ?"
Je n'en suis pas sûr. Sur ta session infecté un processus néfaste se charge. Il faut trouver pourquoi et comment. On pourra toujours faire l'essai. je vais demander d'autres avis

Smart

negrie
9 mai 2011 à 12:20

Miracle ;)
Les fichiers exe se lancent sauf firefox.
Il n'y a tjs pas les icônes sur le bureau
Voici le rapport

RstAssociations v1.1 - Rapport créé le 09/05/2011 à 12:12
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : MAMIE - MAMIEJO (Administrateur)
Exécuté depuis : C:\Documents and Settings\MAMIE\Bureau\RstAssociations(1).scr

-> exe ... association de fichiers restaurée !

Bruno

Réponse 24 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
9 mai 2011 à 12:41

Super on avance .

Maintenant lance RogueKiller et choisis l'option 6

Smart

negrie
9 mai 2011 à 13:27

voila le rapport

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: MAMIE [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 09/05/2011 13:25:57

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 5 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 0 / Fail 0

Termine : << RKreport[1].txt >>
RKreport[1].txt

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 9/05/2011 à 13:59

On va mettre la dernière version de Roguekiller qui date d'aujourd'hui
Supprime Rogue Killer et retélécharge le sur le bureau==>
https://www.luanagames.com/index.fr.html

Lance le avec l'otion 6 et poste le rapport

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

negrie
9 mai 2011 à 14:19

voila le rapport avec la dernière version :

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: MAMIE [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 09/05/2011 14:06:21

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 4 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 0 / Fail 0

Termine : << RKreport[1].txt >>
RKreport[1].txt

Il n'y a tjs rien su rle bureau, le parametre afficher les dossiers cachés est déjà coché.

bruno

Réponse 26 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
9 mai 2011 à 15:24

On récapitule

1. On a reussi à lancer les fichiers .exe
2. Le bureau est vide. normalement ceci interient quand le driver volsnap.sys est infecté. Or quand on a fait un scan VT, le fchier est sain. Il se peut que le rootkit modifie également une autre API et envoit le fichier comme sain.

Tu vas faire ceci:

Avant de commencer, fais une sauvegarde de tous tes documents

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil
Imprime la procédure

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

- /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
- Double-clique sur ComboFix.exe
- Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
- Surtout, accepte d'installer la console de récupération

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

negrie
9 mai 2011 à 18:04

voilà le rapport

ComboFix 11-05-08.04 - MAMIE 09/05/2011 17:35:22.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1407.916 [GMT 2:00]
Lancé depuis: c:\documents and settings\MAMIE\Bureau\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\MAMIE\Modèles\ddr6214xl53rdw84pr4576rub46ddmec4a
c:\documents and settings\MAMIE\WINDOWS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-09 au 2011-05-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-09 11:25 . 2011-05-09 11:25 -------- d-----w- c:\documents and settings\MAMIE\RK_Quarantine
2011-05-09 10:16 . 2011-05-09 10:16 -------- d-sh--w- c:\documents and settings\MAMIE\PrivacIE
2011-05-08 17:10 . 2011-05-08 17:10 -------- d-----w- c:\program files\Advanced IP Scanner v2
2011-05-08 13:44 . 2011-05-08 13:44 -------- d-----w- c:\program files\FixLop
2011-05-08 07:33 . 2011-05-08 07:33 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-08 07:31 . 2011-05-08 18:48 -------- d-----w- c:\program files\ZHPDiag
2011-05-06 15:36 . 2011-05-06 15:36 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-05-06 15:36 . 2011-05-06 15:36 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-05-06 15:36 . 2011-05-06 15:36 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-05-06 15:36 . 2011-05-06 15:36 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-05-06 15:36 . 2011-05-06 15:36 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-05-06 15:36 . 2011-05-06 15:36 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-05-06 15:36 . 2011-05-06 15:36 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-05-06 15:36 . 2011-05-06 15:36 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-05-04 20:06 . 2011-05-04 20:06 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2011-05-04 19:51 . 2011-05-04 19:51 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2011-05-04 19:48 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2011-05-04 19:47 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2011-05-04 19:47 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2011-05-04 19:32 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2011-05-04 16:56 . 2011-05-04 16:56 -------- d-----w- C:\$AVG
2011-05-04 16:40 . 2011-05-04 16:40 -------- d-----w- c:\documents and settings\LocalService\Bureau
2011-05-04 16:35 . 2011-05-04 16:34 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-05-04 16:25 . 2011-05-09 15:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2011-05-04 13:51 . 2011-05-04 13:51 -------- d-----w- c:\program files\MSXML 6.0
2011-05-04 09:17 . 2009-07-31 08:03 1372672 -c----w- c:\windows\system32\dllcache\msxml6.dll
2011-05-04 09:17 . 2008-04-14 02:04 93184 -c----w- c:\windows\system32\dllcache\msxml6r.dll
2011-05-04 09:16 . 2008-04-14 02:34 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2011-05-04 07:43 . 2011-05-04 07:43 -------- d-----w- c:\windows\system32\drivers\etc\host
2011-05-04 06:53 . 2011-05-04 06:53 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2011-05-04 06:53 . 2011-05-04 06:53 -------- d-sh--w- c:\documents and settings\MAMIE\IETldCache
2011-05-03 19:44 . 2011-02-22 23:05 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2011-05-03 19:44 . 2011-02-22 23:05 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2011-05-03 19:44 . 2011-02-22 23:05 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2011-05-03 19:44 . 2011-02-22 23:05 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2011-05-03 19:44 . 2011-02-22 23:05 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2011-05-03 19:44 . 2011-02-22 23:05 1991680 -c----w- c:\windows\system32\dllcache\iertutil.dll
2011-05-03 19:44 . 2011-02-22 23:05 11080704 -c----w- c:\windows\system32\dllcache\ieframe.dll
2011-05-03 19:43 . 2011-05-03 19:44 -------- dc----w- c:\windows\ie8
2011-05-03 19:29 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2011-05-03 19:29 . 2011-02-17 13:18 357888 -c----w- c:\windows\system32\dllcache\srv.sys
2011-05-03 19:28 . 2011-02-17 13:18 455936 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2011-05-03 19:28 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2011-05-03 19:28 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2011-05-03 19:19 . 2011-05-03 19:19 -------- dc----w- c:\documents and settings\All Users\Application Data\{589802B2-1BF3-4609-9ADE-CF6E6608D06D}
2011-05-03 18:44 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2011-05-03 18:44 . 2010-12-09 15:14 2194816 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2011-05-03 18:44 . 2009-03-06 14:20 286720 -c----w- c:\windows\system32\dllcache\pdh.dll
2011-05-03 18:44 . 2009-02-09 11:23 111104 -c----w- c:\windows\system32\dllcache\services.exe
2011-05-03 18:44 . 2009-02-09 10:53 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2011-05-03 18:44 . 2010-12-20 17:26 736768 -c----w- c:\windows\system32\dllcache\lsasrv.dll
2011-05-03 18:44 . 2009-02-09 10:53 685568 -c----w- c:\windows\system32\dllcache\advapi32.dll
2011-05-03 18:44 . 2009-02-09 10:53 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2011-05-03 18:44 . 2009-02-09 10:53 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2011-05-03 18:44 . 2010-12-09 15:15 743424 -c----w- c:\windows\system32\dllcache\ntdll.dll
2011-05-03 18:44 . 2010-12-09 15:14 2150912 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2011-05-03 18:44 . 2010-12-09 15:14 2029056 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2011-05-03 18:42 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2011-05-03 18:40 . 2009-08-25 09:18 354816 -c----w- c:\windows\system32\dllcache\winhttp.dll
2011-05-03 18:40 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2011-05-03 18:39 . 2010-07-16 12:04 221696 -c----w- c:\windows\system32\dllcache\wordpad.exe
2011-05-03 17:57 . 2010-09-06 09:26 189520 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-05-03 17:04 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-03 17:04 . 2011-05-03 17:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-03 17:04 . 2011-05-03 17:04 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-03 17:04 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-03 17:01 . 2011-05-08 19:26 -------- d-----w- c:\documents and settings\Administrateur
2011-05-03 16:26 . 2010-08-27 08:02 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2011-05-03 16:26 . 2009-10-15 16:32 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2011-05-03 16:09 . 2004-08-05 12:00 31360 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys
2011-05-03 16:09 . 2004-08-05 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2011-05-03 16:07 . 2008-04-14 02:32 175104 -c--a-w- c:\windows\system32\dllcache\pintlcsa.dll
2011-05-03 16:06 . 2004-08-05 12:00 6656 -c--a-w- c:\windows\system32\dllcache\iissync.exe
2011-05-03 16:05 . 2004-08-05 12:00 6656 -c--a-w- c:\windows\system32\dllcache\c_is2022.dll
2011-05-03 16:02 . 2004-08-05 12:00 16384 -c--a-w- c:\windows\system32\dllcache\isignup.exe
2011-05-03 16:02 . 2004-08-05 12:00 16384 ----a-w- c:\program files\Internet Explorer\Connection Wizard\isignup.exe
2011-05-03 15:52 . 2004-08-05 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2011-05-03 15:52 . 2004-08-05 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2011-05-03 15:52 . 2004-08-05 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2011-05-03 15:52 . 2004-08-05 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2011-05-03 15:51 . 2004-08-05 12:00 14043 ----a-r- c:\windows\SETD7.tmp
2011-05-03 15:51 . 2004-08-05 12:00 1086058 ----a-r- c:\windows\SETCB.tmp
2011-05-03 15:51 . 2004-08-05 12:00 1014836 ----a-r- c:\windows\SETC8.tmp
2011-04-14 01:39 . 2011-04-14 01:39 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-04-14 01:39 . 2011-04-14 01:39 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
2011-04-13 22:40 . 2011-04-13 22:40 4284416 ----a-w- c:\windows\system32\GPhotos.scr
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2010-10-01 09:31 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-08-05 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:42 . 2004-08-05 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-08-05 12:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-05 12:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-08-05 12:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:54 . 2004-08-05 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2004-08-05 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-05-06 15:36 . 2011-05-06 15:36 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-29 1545512]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SRFirstRun]
2008-04-14 02:33 67584 ----a-w- c:\windows\system32\srclient.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\MAMIE\Application Data\Mozilla\Firefox\Profiles\bgaf2ccb.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: AVG Safe Search: {1E73965B-8B48-48be-9C8D-68B920ABC1C4} - c:\program files\AVG\AVG10\Firefox4
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-09 17:38
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe??????????????@? ????J????????@???????@
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-05-09 17:39:52
ComboFix-quarantined-files.txt 2011-05-09 15:39
.
Avant-CF: 484 478 754 816 octets libres
Après-CF: 484 536 692 736 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 876562D8B75735A7CB99F20A93FE6ECE

Réponse 27 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
9 mai 2011 à 19:43

CF n'a pas trouvé de fichier Volsnap.sys infecté.

Tu vas faire ceci:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

negrie
9 mai 2011 à 20:35

voici :

http://www.cijoint.fr/cjlink.php?file=cj201105/cijvIwcm6i.txt

Bruno

Réponse 28 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 9/05/2011 à 21:37

Le rapport rapport ne montre rien d'infectieux à part des restes d'un adware

J'ai une question est-ce que tu peux faire une copie d'écran du bureau

Ensuite tu ouvres ce dossier:
C:\Documents and Settings\MAMIE\\bureau
Et tu fais également une copie d'écran.
tu postes ces deux copies d'écran via cijoint

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

negrie
10 mai 2011 à 07:49

Bonjour,
voci le bureau
http://www.cijoint.fr/cjlink.php?file=cj201105/cijgjmlqy4.doc
et le repertoire
http://www.cijoint.fr/cjlink.php?file=cj201105/cijgGvEPCf.doc
Merci
Bruno

Réponse 29 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
10 mai 2011 à 10:07

J'ai demandé de l'aide. et je reviens vers toi

Smart

Réponse 30 / 42

Utilisateur anonyme
10 mai 2011 à 13:31

salut peut etre une chance avec ceci ?

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
10 mai 2011 à 13:35

Merci pour l'aide Gen. Il est vrai je n'avais pas pensé à pre scan

negrie
10 mai 2011 à 16:46

Slt,
J'ai exécuté pre scan, rien n'a été demandé, le site cijoint n'est pas dispo pour le moment ;(
Dès que ça remarche je poste le lien pour le rapport
Merci encore
Bruno

negrie
10 mai 2011 à 16:53

Le voilà :

http://www.cijoint.fr/cjlink.php?file=cj201105/cijksWusKE.txt

Réponse 31 / 42

Utilisateur anonyme
10 mai 2011 à 23:05

le bureau est conforme....

negrie
11 mai 2011 à 11:43

Bonjour,
Donc sans issue ?
Bruno

Réponse 32 / 42

Utilisateur anonyme
11 mai 2011 à 12:03

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\windows\SETD7.tmp
c:\windows\SETCB.tmp
c:\windows\SETC8.tmp

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"=-
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
[HKEY_LOCAL_MACHINE\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"=DWORD:0x00000000

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

negrie
11 mai 2011 à 15:42

Bonjour,
Voici le lien pour le rapport

http://www.cijoint.fr/cjlink.php?file=cj201105/cijigK3Wzp.txt

Merci
Bruno

Réponse 33 / 42

Utilisateur anonyme
12 mai 2011 à 00:13

pourquoi y'a pas de "s" à :

c:\windows\system32\drivers\etc\host

.??????

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
12 mai 2011 à 09:30

Bonne question

Mais ce n'est pas la fichier Hosts c'est un répertoire. Et je ne vois pas le rapport avec le bureau
Pour son bureau j'ai pensé à USBFix . Qu'en penses-tu ?

negrie
12 mai 2011 à 09:31

Bonjour,
Je ne sais absolument pas ;)

Réponse 34 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
12 mai 2011 à 09:44

En fait je m'adressais à Gen, tu vas faire ceci:

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart

negrie
12 mai 2011 à 16:40

Bonjour,

coici le lien pour le rapport

http://www.cijoint.fr/cjlink.php?file=cj201105/cijx8W9e7G.txt

Merci bcp.
bruno

Réponse 35 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
12 mai 2011 à 17:44

Bon je pense que cela n'a pas dû régler le pb
On va essayer une dernière cartouche;

Télécharge RSTshell:
http://www.general-changelog-team.fr/...

Lance le, clique su "Restaurer" et poste le rapport

Smart

negrie
12 mai 2011 à 17:55

le voici

# RstShell v1.0 - Rapport créé le 12/05/2011 à 17:50
# Mis à jour le 30/04/11 à 21h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : MAMIE - MAMIEJO (Administrateur)
# Exécuté depuis : C:\Documents and Settings\MAMIE\Bureau\rstshell.exe

~~~~~ ¤ ACLs ¤ ~~~~~

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

ACLs : Tout le monde -> Contrôle total
Autorisations modifiées avec succès !

~~~~~ ¤ Registre - Winlogon ¤ ~~~~~

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] - Shell
Ancienne valeur = Explorer.exe
Nouvelle valeur = explorer.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] - UserInit
Ancienne valeur = C:\WINDOWS\system32\Userinit.exe,
Nouvelle valeur = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] - System
Ancienne valeur =
Nouvelle valeur =

~~~~~ ¤ RegSvr32 ¤ ~~~~~

27 Opérations effectuées :

-> DllInstall : 3
-> DllRegister : 24

########## EOF - "C:\RstShell.txt" - [1167 octets] ##########

Réponse 36 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
12 mai 2011 à 18:00

Redémarre le PC et dis moi si tu as ton bureau

Smart

negrie
12 mai 2011 à 18:11

Malheureusement non.
Il y a tjs un fichier desktop.in qui s'ouvre avec ceci :

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Et firefox ne se lance pas.

Bruno

Réponse 37 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 12/05/2011 à 19:37

Pour ne plus avoir ce message mais je ne pense pas que tu vas récupérer ton bureau
Fais ceci:
Clique sur Démarrer ensuite Exécuter, tu tapes msconfig puis entrée
Sélectionne l'onglet démarrage
Décoche la ligne où se trouve desktop.ini
Clique sur OK pour valider.
Redémarre le PC

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

negrie
12 mai 2011 à 19:33

Effectivement tjs pas d'icônes mais plus le fichier
Merci
Bruno

Réponse 38 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
13 mai 2011 à 11:50

On va vérifier qq chose:

1- clic droit sur le bureau, puis "réorganiser les icones par" et vérifies que la case "Afficher les icones sur le bureau" est cochée

Si elle cocchée

2- Panneau de configuration\Affichage, dans la fenêtre qui sort prends l'anglet "Bureau", puis clique sur un bouton, en bas, intitulé "Personnalisation du bureau". Dans cette nouvelle fenêtre, parmi l'ensemble "Icônes du Bureau", coche les élément que tu veux afficher.

Smart

negrie
13 mai 2011 à 16:24

Bonjour et bravo ;)
Afficher les icones n'était pas coché ...
Donc maintenant j'ai les icones, c'est super.
Cependant si je peux le fichier desktop.ini se lance tjs au démarrage et firefox ne démarre pas
J'ai envie de le désinstaller et de le recharger et de le reinstaller ?
qu'en penses tu ?
Et encore un grand merci.
Bruno

Réponse 39 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 13/05/2011 à 16:33

Oui essaie de désinstaller Firefox et réinstalle le
Ensuite relance ZHPDiag clique sur la flèche pour la mise à jour, refais un scan et poste le rapport

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

negrie
13 mai 2011 à 16:50

Voici le lien pour le rapport

http://www.cijoint.fr/cjlink.php?file=cj201105/cijtKU64be.txt

Bruno

Réponse 40 / 42

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 13/05/2011 à 19:41

On va suppimer les dernières traces:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKCU\Software\PopCap]
O67 - Shell Spawning: <.exe> <exefile>[HKCU\..\open\Command] "%1" %* (.not file.)

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Désinstralle également AD-Aware de Lavasoft, il ne sert à rin et ne fait que ralentir ton PC

Redémarre le PC.

Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

negrie
13 mai 2011 à 20:43

C'est parti ;)

negrie
13 mai 2011 à 20:44

le rapport

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-05-2011-20-44-00.txt
Run by MAMIE at 13/05/2011 20:44:00
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\PopCap => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
O67 - Shell Spawning: <.exe> <exefile>[HKCU\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre

End of the scan

Discussions similaires

Exécuter un programme via l'invite de commande

fichier exe du scrabble

ou telecharger sndrec32.exe svp ?

comment convertir un logiciel .exe en .dmg