windows vista recovery Résolu/Fermé

Question

Bonjour, Apres avoir ete infectee par ce virus et apres avoir lu sur ce forum les differentes manip a faire je suis actuellement au niveau de l'option 6 de roguekiller (est ce normal que ca soit si long ce niveau ?) malgré tout j'ai toujours un icone dans ma barre des taches qui me dit que certains programmes seront bloques au demarrage et aussi toujours un icone representant "windows vista recovery " sur mon bureau. Je voulais savoir quoi faire apres l'option 6 ? Je poste ici les logs de malwarebytes et de l'option 2 de roguekiller. Merci a ceux qui voudront bien m'aider Je voulais preciser aussi que mes dossiers sont revenus mais que je ne peux y acceder . on me dit que je n'ai pas d'autorisation d'acces pour chaque dossier que je clique. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Version de la base de données: 6631 Windows 6.0.6001 Service Pack 1 (Safe Mode) Internet Explorer 7.0.6001.18000 21/05/2011 09:43:32 mbam-log-2011-05-21 (09-43-20).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 421626 Temps écoulé: 43 minute(s), 15 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XsscWvvgUnQhD (Trojan.FakeMS.Gen) -> Value: XsscWvvgUnQhD -> No action taken. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\programdata\xsscwvvgunqhd.exe (Trojan.FakeMS.Gen) -> No action taken. c:\Users\arthur\AppData\Local\Temp\0.027257097598288538.exe (Trojan.FakeMS.Gen) -> No action taken. c:\Users\arthur\AppData\Local\Temp\adobe_flash_player.exe (Trojan.Agent) -> No action taken. c:\programdata\28892920.exe (Trojan.Agent) -> No action taken. RogueKiller V5.1.5 [20/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: arthur [Droits d'admin] Mode: Suppression -- Date : 21/05/2011 09:46:33 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt Configuration: Windows Vista / Internet Explorer 7.0

korialane · Answer

voici le log de l'option 6 RogueKiller V5.1.5 [20/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: arthur [Droits d'admin] Mode: Raccourcis RAZ -- Date : 21/05/2011 10:28:03 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 35 / Fail 1 Lancement rapide: Success 11 / Fail 0 Programmes: Success 2456 / Fail 0 Menu demarrer: Success 53 / Fail 0 Dossier utilisateur: Success 124637 / Fail 235612 Mes documents: Success 12603 / Fail 21 Mes favoris: Success 84 / Fail 1 Mes images: Success 1 / Fail 6 Ma musique: Success 1 / Fail 9 Mes videos: Success 1 / Fail 0 Disques locaux: Success 6350 / Fail 488636 Sauvegarde: [FOUND] Success 37 / Fail 1 Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

gen-hackman · Answer

salut

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

korialane · Answer

Bonjour
Je n'arrive pas a telecharger pre_ scan , la fenetre s'ouvre pour commencer le telechargement puis une autre fenetre me dit qu''internet explorer ne peut ouvrir ce fichier car le site n'a pas ete trouvé ou n'est pas disponible.
Merci

gen-hackman · Answer

telecharge-le d'un autre pc et transmet-le par usb

korialane · Answer

Bonjour
Bon, petit probleme pour ce scan car en fait je l'ai donc bien telecharge via un autre pc, puis enregistre sur usb et enfin lancé sur le pc infecté.Il se met bien en route (une petite fenetre avec "reattribution des fichiers" ) puis apres quelques secondes pre scan s'arrete suite a un prob de windows update. Apparemment des mises a jour n'ont pas ete faites. effectivement il s'agit de service pack 2 mais le prob c que la mise a jour s'installe pendant au moins 1/2 heure pour m'afficher ensuite que ca ne s'est pas installe . donc c  un cercle vicieux, il me faut la mise a jour installé pour que pre scan fonctionne mais pour je ne sais kelle raison ca ne veut pas s'installer ! et ca ca date ! je n'ai jamais reussi a l'installer ce service pack 2 !!
Bref que faire ???
Merci de votre aide

gen-hackman · Answer

as-tu bien desactivé tes protections comme demande ?

poste C:\Pre_Scan.txt

gen-hackman · Answer

poste le rapport via cijoint.fr stp

korialane · Answer

http://www.cijoint.fr/cjlink.php?file=cj201105/cijTt4CjQk.txt

gen-hackman · Answer

salut pourquoi tu n'écoutes pas ??

t'as pas desactivé antivir !!!

on recommence :

&#9654 Télécharge DelFix sur ton bureau.

&#9654 Lance le, tape suppression puis valide 

Patiente pendant le scan jusqu'à l'ouverture du rapport.

&#9654 Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

=======================================

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

korialane · Answer

bon je vous envoie les deux rapports sachant que pour le 2eme (pre scan) je suis pas sure qu'il ai bien fonctionné car le bandeau de la fenetre "reattribution des fichiers" est resté desesperement gris (au lieu de vert) et cela bien que j'ai essayé de changer le nom de l'extension en .com. Apres un long moment le programme a cesse de fonctionne et windows l'a fermé..je sais pas si tout ca est normal..:

http://www.cijoint.fr/cjlink.php?file=cj201105/cij7Oq1DZ5.txt


http://www.cijoint.fr/cjlink.php?file=cj201105/cija2mejvc.txt

gen-hackman · Answer

si tu ne suis pas les indications c'est normal que ca merd$$

je te demande de couper tes protection , je les enumère pour etre sur que aucune erreur ne sera faite , et toi :

2648 | C:\Program Files\Avira\AntiVir Desktop\avguard.exe - SYSTEM - Normal - "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" - 676

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

korialane · Answer

voici le resultat de combofix

ComboFix 11-05-22.01 - arthur 23/05/2011  15:24:20.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3326.2185 [GMT 2:00]
Lancé depuis: c:\users\arthur\Desktop\catherine.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Search Guard Plus
c:\program files\Search Guard Plus\fbsProtection.xml
c:\program files\Search Guard Plus\fbsProtectionI.xml
c:\program files\Search Guard Plus\fbsSearchProvider.xml
c:\program files\Search Guard Plus\FbsSearchProviderIE8.exe
c:\program files\Search Guard Plus\SearchGuardPlus.ico
c:\program files\Search Guard Plus\uninstalSGP.exe
c:\program files\Search Guard PlusU
c:\program files\Search Guard PlusU\SGPU.ico
c:\program files\Search Guard PlusU\sgpUpdater.exe
c:\program files\Search Guard PlusU\sgpUpdater.xml
c:\program files\Search Guard PlusU\sgpUpdaters.exe
c:\program files\Search Guard PlusU\Tmpemovesgp0.exe
c:\program files\Search Guard PlusU\uninstalSGPU.exe
c:\program files\SGPSA
c:\program files\SGPSA\ie3sh.exe
c:\users\arthur\OOo_3.1.0_Win32Intel_install_wJRE_fr.exe
c:\users\arthur\pf-setup.exe
c:\users\arthur\vlc-0.9.9-win32.exe
c:\users\arthur\wrar380fr.exe
c:\users\Public\RemoveSGP0.exe
c:\windows\system32\Ijl11.dll
c:\windows\system32\Install.cmd
c:\windows\system32\jgaw400.dll
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-23 au 2011-05-23  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-23 13:35 . 2011-05-23 13:35	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-05-23 11:43 . 2011-05-23 12:48	--------	d-----w-	C:\Kill'em
2011-05-23 07:44 . 2011-05-23 08:01	--------	d-----w-	c:\users\arthur 2
2011-05-21 05:40 . 2011-05-21 05:40	--------	d-----w-	c:\programdata\WindowsSearch
2011-05-21 04:27 . 2011-05-23 13:23	1495948	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2011-05-21 02:26 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D9272356-F982-481D-A0BA-CC4916F11AF2}\mpengine.dll
2011-05-11 05:10 . 2011-04-07 12:01	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-04-28 05:21 . 2011-03-03 14:56	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2011-04-28 05:21 . 2011-03-03 13:01	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-11 07:25 . 2009-08-18 09:30	564632	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2011-04-11 07:25 . 2009-08-18 09:24	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-04-01 05:05 . 2009-07-23 05:22	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-19 08:53 . 2009-04-27 19:09	348160	---ha-w-	c:\windows\system32\msvcr71.dll
2011-03-10 16:12 . 2011-04-15 05:24	1136640	----a-w-	c:\windows\system32\mfc42.dll
2011-03-10 16:12 . 2011-04-15 05:24	1161728	----a-w-	c:\windows\system32\mfc42u.dll
2011-03-03 15:00 . 2011-04-15 05:24	738816	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-03 14:56 . 2011-04-28 05:21	173056	----a-w-	c:\windows\apppatch\AcXtrnal.dll
2011-03-03 14:56 . 2011-04-28 05:21	459776	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2011-03-03 14:56 . 2011-04-28 05:21	2153984	----a-w-	c:\windows\apppatch\AcGenral.dll
2011-03-03 14:56 . 2011-04-28 05:21	541696	----a-w-	c:\windows\apppatch\AcLayers.dll
2011-03-03 12:53 . 2011-04-15 05:24	2040832	----a-w-	c:\windows\system32\win32k.sys
2011-03-02 14:49 . 2011-04-15 05:24	86528	----a-w-	c:\windows\system32\dnsrslvr.dll
2011-02-24 11:54 . 2011-02-24 11:54	653576	------w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53	165184	----a-w-	c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-07 1038136]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-27 68856]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-04-28 1828136]
"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 6139904]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-07 1038136]
"FujiKeyboard"="c:\acer\Preload\Autorun\DRV\FUJI Keyboard\ABoard.exe" [2008-09-18 79416]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-07-09 30192]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-04-27 98304]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-18 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
c:\users\arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@="FSFilter Activity Monitor"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 135664]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-07-09 30192]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 135664]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-07-05 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-28 136360]
S2 ETService;Empowering Technology Service;c:\program files\Packard Bell\Packard Bell Recovery Management\Service\ETService.exe [2008-07-16 24576]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2007-08-29 96384]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys [2008-01-14 21632]
S3 ovt530;Hercules Deluxe Webcam;c:\windows\system32\Drivers\ov530vid.sys [2007-02-02 167464]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 23:04]
.
2011-05-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 23:04]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.sfr.fr/accueil/adsl.html
uInternet Settings,ProxyOverride = <local>
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\arthur\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\arthur\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
DPF: {FAB2BB9D-91E9-457E-9D42-75A7FCCBBC00} - hxxp://www.opticiens-atol.com/pages/collections/adriana/total-immersion/plugin/DFusionHomeWebPlugIn.InstallerFull.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{e84cc2c1-b722-48fc-a39c-edb8b525c777} - (no file)
URLSearchHooks-{38542454-dfb6-44f5-b052-d4e071a3d073} - (no file)
Toolbar-{66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
WebBrowser-{E84CC2C1-B722-48FC-A39C-EDB8B525C777} - (no file)
WebBrowser-{38542454-DFB6-44F5-B052-D4E071A3D073} - (no file)
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-FBSSA - c:\program files\SGPSA\ie3sh.exe
AddRemove-EPSON Scanner - c:\program files\epson\escndv\setup\setup.exe
AddRemove-ffdshow_is1 - c:\program files\Video Convert Master\codec\ffdshow\unins000.exe
AddRemove-RealAlt_is1 - c:\program files\Video Convert Master\codeceal\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-23 15:35
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  FBSSA = c:\program files\SGPSA\ie3sh.exe?ternet Explorer\URLSearchHooks?u?????????????????????????????????? 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2011-05-23  15:39:01
ComboFix-quarantined-files.txt  2011-05-23 13:38
.
Avant-CF: 387 785 392 128 octets libres
Après-CF: 389 310 992 384 octets libres
.
- - End Of File - - 92DD96B1D9C235DBD7C5CCEC745E1D7A

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Folder:: c:\program files\SGPSA Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- "SunJavaUpdateSched"=- "Adobe Reader Speed Launcher"=- Netsvc:: ezSharedSvc DDS:: uInternet Settings,ProxyOverride = ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

korialane · Answer

Voila le rapport mais avant je voulais preciser que lorsque combofix a fini son scan il a redemmare automatiquement le pc (ce qui a reactivé mon antivirus au demarrage) mais il etait bien desactivé lors du scan .
http://www.cijoint.fr/cjlink.php?file=cj201105/cijxCQdcAz.txt

gen-hackman · Answer

tu l'as enregistré le bloc-notes à la fermeture ? avant le glisser/deposer ?

korialane · Answer

oui il est enregistré sur le bureau c de la que je le prend pour le faire glisser dans combofix

gen-hackman · Answer

oui ben refais il l'a pas pris en compte

korialane · Answer

bon je renvoie le rapport en precisant une petite chose c que a la fin du scan combofix fait redemmarer windows et de ce fait je ne vois plus le CFScript sur mon bureau lors de ce redemarrage alors qu'il y etait bien enregistré lors du scan.


http://www.cijoint.fr/cjlink.php?file=cj201105/cijPNZoCw3.txt

gen-hackman · Answer

normal il le "mange" pendant son travail ^^

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

korialane · Answer

http://www.cijoint.fr/cjlink.php?file=cj201105/cijMwK1a5w.txt

http://www.cijoint.fr/cjlink.php?file=cj201105/cijj4hrDYv.txt

gen-hackman · Answer

clique sur config et recommence en la suivant

korialane · Answer

donc si j'ai bien compris il faut que je relance OTL avec ce qui coché comme stipulé dans "config" ? c ce que je fais mais il reste bloqué sur scan C:/Windows/System32/Winlogon.exe et si je bouge la fenetre ca me marque (ne repond pas) est ce normal ?

gen-hackman · Answer

laisse tourner il va reprendre

korialane · Answer

bon ben nouvel episode et pe etre fatal..je n'arrive plus ce matin a ouvrir le pc , la page reste noire avec juste la souris. j'ai essaye en mode sans echec et ca marche pas non plus.
De plus , hier soir n'arrivant pas a lancer le scan OTL apres plus de deux heures j'ai fait une analyse rapide plutot qui a marché . Je l'ai posté hier soir et je ne le retrouve pas sur cette discussion !!!
Je ne peux donc plus faire de manip sur le pc ??
Le pc s'allume, lance le petit bruit de demarrage, j'ai les infos habituelles puis le bandeau "microsoft corporation" et ensuite plsu rien ! 
voila...

gen-hackman · Answer

ok

salut

demarre-le comme si tu voulais le demarrer en mode sans echec mais choisis derniere bonne configuration connue

korialane · Answer

etant donné que je n'ai rien sur ecran meme en mode sans echec, ben j'ai restauré a l'aide des cd ...voila c reparti mais tout est a refaire..enfin merci quand meme pour votre aide..

gen-hackman · Answer

je n'avais pas dit de demarrer en mode sans echec ....enfin bon pas grave on aurait pu eviter de tout refaire si tu avais été un peu plus patient(e)

au plaisir :)

Windows vista recovery

28 réponses