Windows Vista Recovery Virus sur mon PC
Shangri La
-
gen-hackman -
gen-hackman -
Bonjour,
Je subis également ce virus! Au départ, il laissait mon bureau vide et noir, avec une fenêtre d'alerte ayant détecté des éléments malveillants pr lesquels on me conseillait d'acheter l'antivirus nécessaire. En passant par l'onglet windows, dans "ordinateur" tout apparaissait vide. J'ai réussi à accéder à mes fichiers uniquement par l'onglet windows (vide là aussi, liste des programmes introuvable) en tapant un nom au hasard. J'ai pu ainsi accéder à internet explorer, et j'ai d'abord utilisé selon divers conseils peu récents Reanimator+Malwarebytes+Ccleaner. Cette manoeuvre a permis de détecter et supprimer certains des fichiers malveillants mais le problème restait le même : pas d'icône sur le bureau, barre vide en bas de l'écran, dossiers introuvables dans windows-ordinateur.
Puis je me suis bêtement faite avoir en installant TrojanKiller qui semble en fait être un rogue.
J'ai enfin essayé avec RogueKiller+Malwarebytes, cette fois les icônes sont réapparus sur le bureau mais l'écran est tjrs noir en fond, et tjrs pas de barre d'onglets en bas, ni de liste de programmes dans l'onglet "windows". Comme si certains éléments restaient cachés.
J'ai essayé de me cantonner aux conseils donnés aux autres internautes mais cela est limité puisque si j'ai bien compris ce sont les rapports postés qui permettent d'orienter la marche à suivre au cas par cas..
Par ailleurs je n'ose rien brancher de peur que ça infeste clé usb et disque dur externe.
Merci beaucoup d'avance si vous avez une solution !
Je subis également ce virus! Au départ, il laissait mon bureau vide et noir, avec une fenêtre d'alerte ayant détecté des éléments malveillants pr lesquels on me conseillait d'acheter l'antivirus nécessaire. En passant par l'onglet windows, dans "ordinateur" tout apparaissait vide. J'ai réussi à accéder à mes fichiers uniquement par l'onglet windows (vide là aussi, liste des programmes introuvable) en tapant un nom au hasard. J'ai pu ainsi accéder à internet explorer, et j'ai d'abord utilisé selon divers conseils peu récents Reanimator+Malwarebytes+Ccleaner. Cette manoeuvre a permis de détecter et supprimer certains des fichiers malveillants mais le problème restait le même : pas d'icône sur le bureau, barre vide en bas de l'écran, dossiers introuvables dans windows-ordinateur.
Puis je me suis bêtement faite avoir en installant TrojanKiller qui semble en fait être un rogue.
J'ai enfin essayé avec RogueKiller+Malwarebytes, cette fois les icônes sont réapparus sur le bureau mais l'écran est tjrs noir en fond, et tjrs pas de barre d'onglets en bas, ni de liste de programmes dans l'onglet "windows". Comme si certains éléments restaient cachés.
J'ai essayé de me cantonner aux conseils donnés aux autres internautes mais cela est limité puisque si j'ai bien compris ce sont les rapports postés qui permettent d'orienter la marche à suivre au cas par cas..
Par ailleurs je n'ose rien brancher de peur que ça infeste clé usb et disque dur externe.
Merci beaucoup d'avance si vous avez une solution !
A voir également:
- Windows Vista Recovery Virus sur mon PC
- Android recovery - Guide
- Mon pc est lent - Guide
- Mon pc s'allume mais ne démarre pas windows 10 - Guide
- Télécharger musique gratuitement sur pc - Télécharger - Conversion & Extraction
- Plus de son sur mon pc - Guide
36 réponses
Salut,
1/
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 6 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
NB :Maintenant tu tapess 6 :)
2/
Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indisponible:
http://www.cijoint.fr/
* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse
@+
1/
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 6 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
NB :Maintenant tu tapess 6 :)
2/
Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indisponible:
http://www.cijoint.fr/
* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse
@+
Bonjour!
Alors, je dois mal faire quelque cose, car pas de changement depuis hier sur ce qui se passe quand je tappe "%userprofile%\Desktop\mbr" -f dans "démarrer". Dans mbr.log, la ligne ("original MBR restored successfully !" ) n'apparaît pas.
Voilà donc le rapport qui reste le même :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Je poursuis quand même la procédure en relançant mbr.exe et te poste le rapport..
Alors, je dois mal faire quelque cose, car pas de changement depuis hier sur ce qui se passe quand je tappe "%userprofile%\Desktop\mbr" -f dans "démarrer". Dans mbr.log, la ligne ("original MBR restored successfully !" ) n'apparaît pas.
Voilà donc le rapport qui reste le même :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Je poursuis quand même la procédure en relançant mbr.exe et te poste le rapport..
Salut,
1/
* Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Ferme toutes applications en cours /!\
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c
2/
* Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris
:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera
automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi
sauvegardé a la racine du disque dur)
1/
* Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Ferme toutes applications en cours /!\
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c
2/
* Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris
:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera
automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi
sauvegardé a la racine du disque dur)
Merci pour la suite, voilà donc le rapport après nettoyage par Ad-Remover:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:11:18 le 27/05/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Louise@RUPPERT (Acer Aspire 5810T)
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKCU\Software\Spointer
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [7.0.6001.18000] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll) (x)
HKCU_ElevationPolicy\{6F7AF14D-7FAF-45EC-A1F1-B748EA05562A} - C:\Program Files\OpenOffice.org 3\program\swriter.exe (?)
HKCU_ElevationPolicy\{78EF38BD-C1A4-4FC3-8C4D-BE4733F6FAD0} - C:\Program Files\OpenOffice.org 3\program\scalc.exe (?)
HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 27/05/2011 17:11:21 (2288 Octet(s))
Fin à: 17:12:30, 27/05/2011
============== E.O.F ==============
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:11:18 le 27/05/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Louise@RUPPERT (Acer Aspire 5810T)
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKCU\Software\Spointer
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [7.0.6001.18000] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll) (x)
HKCU_ElevationPolicy\{6F7AF14D-7FAF-45EC-A1F1-B748EA05562A} - C:\Program Files\OpenOffice.org 3\program\swriter.exe (?)
HKCU_ElevationPolicy\{78EF38BD-C1A4-4FC3-8C4D-BE4733F6FAD0} - C:\Program Files\OpenOffice.org 3\program\scalc.exe (?)
HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 27/05/2011 17:11:21 (2288 Octet(s))
Fin à: 17:12:30, 27/05/2011
============== E.O.F ==============
Je n'arrive pas à t'envoyer le rapport suivant! au moment d'appuyer sur "valider" on me dit "titre du message non renseigné".. C'est normal ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pour que tu puisses l'envoyer, inscris toi au forum CCM
@+
@+
Ah ok, merci.
Voilà donc le rapport d'UsbFix :
############################## | UsbFix 7.046 | [Recherche]
Utilisateur: Louise (Administrateur) # RUPPERT [Acer Aspire 5810T]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 17:23:01 | 27/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM)2 Solo CPU U3500 @ 1.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 12.0 [Enabled | Updated]
RAM -> 3001 Mo
C:\ (%systemdrive%) -> Disque fixe # 288 Go (177 Go libre(s) - 62%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 77%) [] # FAT
F:\ -> Disque amovible # 2 Go (519 Mo libre(s) - 27%) [] # FAT
################## | Éléments infectieux |
Présent! E:\kmj.exe
Présent! E:\UNUCI
Présent! E:\zgodna
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{3b8002d6-c885-11de-9975-0022fb5d2084}
Shell\AutoRun\Command = E:\LaunchU3.exe -a
HKCU\.\.\.\.\Explorer\MountPoints2\{46cbb5ee-7640-11df-8a01-001f16b106c7}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
PS : les sources de données usb sont clean maintenant ?
Dans l'attente des autres téléchargements à effectuer.. :)
Voilà donc le rapport d'UsbFix :
############################## | UsbFix 7.046 | [Recherche]
Utilisateur: Louise (Administrateur) # RUPPERT [Acer Aspire 5810T]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 17:23:01 | 27/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM)2 Solo CPU U3500 @ 1.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 12.0 [Enabled | Updated]
RAM -> 3001 Mo
C:\ (%systemdrive%) -> Disque fixe # 288 Go (177 Go libre(s) - 62%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 77%) [] # FAT
F:\ -> Disque amovible # 2 Go (519 Mo libre(s) - 27%) [] # FAT
################## | Éléments infectieux |
Présent! E:\kmj.exe
Présent! E:\UNUCI
Présent! E:\zgodna
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{3b8002d6-c885-11de-9975-0022fb5d2084}
Shell\AutoRun\Command = E:\LaunchU3.exe -a
HKCU\.\.\.\.\Explorer\MountPoints2\{46cbb5ee-7640-11df-8a01-001f16b106c7}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
PS : les sources de données usb sont clean maintenant ?
Dans l'attente des autres téléchargements à effectuer.. :)
Re,
Non, il y'a des infections : On va les supprimer maintenant :
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris
:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera
automatiquement
-Clique sur "Suppression"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi
sauvegardé a la racine du disque dur)
@+
Non, il y'a des infections : On va les supprimer maintenant :
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris
:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera
automatiquement
-Clique sur "Suppression"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi
sauvegardé a la racine du disque dur)
@+
Fait ! voilà le rapport (et merci pour la réponse rapide) :
############################## | UsbFix 7.046 | [Suppression]
Utilisateur: Louise (Administrateur) # RUPPERT [Acer Aspire 5810T]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 18:22:46 | 27/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM)2 Solo CPU U3500 @ 1.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 12.0 [Enabled | Updated]
RAM -> 3001 Mo
C:\ (%systemdrive%) -> Disque fixe # 288 Go (177 Go libre(s) - 61%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 77%) [] # FAT
F:\ -> Disque amovible # 2 Go (519 Mo libre(s) - 27%) [] # FAT
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3343674620-401025763-874009524-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3343674620-401025763-874009524-500
Supprimé! E:\kmj.exe
Supprimé! E:\UNUCI
Supprimé! E:\zgodna
################## | Registre |
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3b8002d6-c885-11de-9975-0022fb5d2084}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{46cbb5ee-7640-11df-8a01-001f16b106c7}
################## | Listing |
[27/05/2011 - 18:23:31 | SHD ] C:\$RECYCLE.BIN
[25/10/2009 - 10:45:23 | D ] C:\Acer
[27/05/2011 - 17:12:31 | N | 2427] C:\Ad-Report-CLEAN[1].txt
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[23/02/2010 - 20:20:29 | N | 2145] C:\bdlog.txt
[14/07/2009 - 04:42:35 | D ] C:\Book
[09/04/2009 - 18:19:43 | RD ] C:\Boot
[21/01/2008 - 04:24:42 | R | 333203] C:\bootmgr
[06/02/2008 - 01:25:41 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[25/10/2009 - 10:44:02 | RD ] C:\Documents and Settings
[07/05/2011 - 09:07:00 | D ] C:\Downloads
[25/10/2009 - 10:48:54 | D ] C:\Elements
[27/05/2011 - 17:14:17 | ASH | 3147612160] C:\hiberfil.sys
[01/04/2009 - 01:56:47 | D ] C:\Intel
[16/05/2011 - 14:16:07 | D ] C:\JMP9Trial_Install
[09/04/2009 - 04:31:07 | RD ] C:\MSOCache
[25/10/2009 - 10:51:04 | D ] C:\MyWinLockerData
[27/05/2011 - 17:14:16 | ASH | 3461201920] C:\pagefile.sys
[07/07/2009 - 19:20:08 | N | 17128] C:\Patch.rev
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[27/05/2011 - 11:29:03 | N | 512] C:\PhysicalDisk0_MBR.bin
[14/07/2009 - 04:42:33 | N | 191] C:\Preload.rev
[27/05/2011 - 17:11:16 | D ] C:\Program Files
[20/05/2011 - 18:33:37 | D ] C:\ProgramData
[13/07/2009 - 18:59:21 | N | 2581] C:\RHDSetup.log
[26/05/2011 - 19:10:23 | SHD ] C:\System Volume Information
[27/05/2011 - 18:23:31 | D ] C:\UsbFix
[27/05/2011 - 18:23:33 | A | 2787] C:\UsbFix.txt
[25/10/2009 - 10:44:24 | D ] C:\Users
[25/05/2011 - 18:08:53 | D ] C:\Windows
[09/07/2010 - 19:23:28 | D ] E:\Papiers
[30/03/2008 - 11:47:34 | HD ] E:\System
[02/12/2010 - 18:49:08 | D ] E:\Cas Cliniques
[17/09/2010 - 11:26:58 | D ] E:\BIUM
[16/09/2010 - 17:00:10 | N | 102400] E:\tiger.exe
[27/02/2010 - 11:20:18 | N | 31232] E:\FICHE à remplir (pr le 17 mai).doc
[31/08/2010 - 11:32:44 | D ] E:\MEMOIRE 2010-2011
[06/05/2011 - 08:42:56 | N | 60234] E:\ficheValidationStage.pdf
[17/09/2010 - 11:27:06 | D ] E:\à imprimer
[06/05/2011 - 08:43:12 | N | 28916] E:\GrilleEvaluationStage.pdf
[04/04/2011 - 13:58:52 | D ] E:\SIHATEUR
[27/05/2010 - 18:51:48 | D ] E:\Docs
[22/11/2010 - 16:59:22 | D ] E:\Déontologie
[11/04/2011 - 13:20:08 | N | 45056] E:\TABLEAU_protocole_2010-2011 23-03-2011.xls
[29/11/2010 - 13:04:10 | N | 23040] E:\questionnaire reforme.doc
[09/05/2011 - 17:53:44 | N | 15872] E:\Tableaux résultats Quelle Rencontre TSLO-TSLE.xls
[09/05/2011 - 22:21:48 | N | 25088] E:\HYPOTHESES 09-05-2011.doc
[09/12/2010 - 14:49:22 | D ] E:\Musique
[17/05/2011 - 18:17:36 | N | 631296] E:\Partie pratique complète corrigée.doc
[12/03/2011 - 11:45:22 | N | 57344] E:\JEUNESSE ET RECONSTRUCTION A TRADUIRE - KVDA_2011_part_4.doc
[17/05/2011 - 23:51:22 | N | 405871] E:\Partie pratique complète.doc
[20/05/2011 - 12:16:02 | D ] E:\Softwares VIRUS
[04/04/2011 - 13:54:06 | D ] E:\Photos
[19/07/2009 - 20:28:10 | D ] F:\La.Vie.Moderne.FRENCH.DVDRip.XviD-ZANBiC
[23/08/2009 - 21:15:46 | D ] F:\Ne Le Dis A Personne
[27/05/2011 - 13:55:46 | N | 60928] F:\Seminaire 1 (Boucand) - 2010_11_29 1.doc
[27/05/2011 - 13:56:06 | N | 38912] F:\Seminaire 1 (Boucand) - 2010_11_29 2.doc
[27/05/2011 - 13:56:22 | N | 70656] F:\Seminaire 10 (Carton) - 2011_01_05.doc
[27/05/2011 - 13:56:38 | N | 785408] F:\Seminaire 10 (Carton) - 2011_01_12.doc
[27/05/2011 - 13:56:48 | N | 37376] F:\Seminaire 10 (Carton) - 2011_01_19.doc
[27/05/2011 - 13:57:32 | N | 641516] F:\Seminaire%2010%20%28Carton%29%20-%20Enf%20sourds%20mater%201.pdf
[27/05/2011 - 13:58:08 | N | 946125] F:\Seminaire%2010%20%28Carton%29%20-%20Enf%20sourds%20mater%202.pdf
[27/05/2011 - 13:58:18 | N | 524078] F:\Seminaire%2010%20%28Carton%29%20-%20Enf%20sourds%20mater%203.pdf
[27/05/2011 - 14:11:38 | N | 58368] F:\Seminaire 11 (Boucand) - 2011_01_10 1.doc
[27/05/2011 - 14:11:52 | N | 126976] F:\Seminaire 11 (Boucand) - 2011_01_10 2.doc
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_RUPPERT.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
############################## | UsbFix 7.046 | [Suppression]
Utilisateur: Louise (Administrateur) # RUPPERT [Acer Aspire 5810T]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 18:22:46 | 27/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM)2 Solo CPU U3500 @ 1.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Pare-feu Windows: Activé
Antivirus: BitDefender Antivirus 12.0 [Enabled | Updated]
RAM -> 3001 Mo
C:\ (%systemdrive%) -> Disque fixe # 288 Go (177 Go libre(s) - 61%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 77%) [] # FAT
F:\ -> Disque amovible # 2 Go (519 Mo libre(s) - 27%) [] # FAT
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3343674620-401025763-874009524-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3343674620-401025763-874009524-500
Supprimé! E:\kmj.exe
Supprimé! E:\UNUCI
Supprimé! E:\zgodna
################## | Registre |
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3b8002d6-c885-11de-9975-0022fb5d2084}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{46cbb5ee-7640-11df-8a01-001f16b106c7}
################## | Listing |
[27/05/2011 - 18:23:31 | SHD ] C:\$RECYCLE.BIN
[25/10/2009 - 10:45:23 | D ] C:\Acer
[27/05/2011 - 17:12:31 | N | 2427] C:\Ad-Report-CLEAN[1].txt
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[23/02/2010 - 20:20:29 | N | 2145] C:\bdlog.txt
[14/07/2009 - 04:42:35 | D ] C:\Book
[09/04/2009 - 18:19:43 | RD ] C:\Boot
[21/01/2008 - 04:24:42 | R | 333203] C:\bootmgr
[06/02/2008 - 01:25:41 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[25/10/2009 - 10:44:02 | RD ] C:\Documents and Settings
[07/05/2011 - 09:07:00 | D ] C:\Downloads
[25/10/2009 - 10:48:54 | D ] C:\Elements
[27/05/2011 - 17:14:17 | ASH | 3147612160] C:\hiberfil.sys
[01/04/2009 - 01:56:47 | D ] C:\Intel
[16/05/2011 - 14:16:07 | D ] C:\JMP9Trial_Install
[09/04/2009 - 04:31:07 | RD ] C:\MSOCache
[25/10/2009 - 10:51:04 | D ] C:\MyWinLockerData
[27/05/2011 - 17:14:16 | ASH | 3461201920] C:\pagefile.sys
[07/07/2009 - 19:20:08 | N | 17128] C:\Patch.rev
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[27/05/2011 - 11:29:03 | N | 512] C:\PhysicalDisk0_MBR.bin
[14/07/2009 - 04:42:33 | N | 191] C:\Preload.rev
[27/05/2011 - 17:11:16 | D ] C:\Program Files
[20/05/2011 - 18:33:37 | D ] C:\ProgramData
[13/07/2009 - 18:59:21 | N | 2581] C:\RHDSetup.log
[26/05/2011 - 19:10:23 | SHD ] C:\System Volume Information
[27/05/2011 - 18:23:31 | D ] C:\UsbFix
[27/05/2011 - 18:23:33 | A | 2787] C:\UsbFix.txt
[25/10/2009 - 10:44:24 | D ] C:\Users
[25/05/2011 - 18:08:53 | D ] C:\Windows
[09/07/2010 - 19:23:28 | D ] E:\Papiers
[30/03/2008 - 11:47:34 | HD ] E:\System
[02/12/2010 - 18:49:08 | D ] E:\Cas Cliniques
[17/09/2010 - 11:26:58 | D ] E:\BIUM
[16/09/2010 - 17:00:10 | N | 102400] E:\tiger.exe
[27/02/2010 - 11:20:18 | N | 31232] E:\FICHE à remplir (pr le 17 mai).doc
[31/08/2010 - 11:32:44 | D ] E:\MEMOIRE 2010-2011
[06/05/2011 - 08:42:56 | N | 60234] E:\ficheValidationStage.pdf
[17/09/2010 - 11:27:06 | D ] E:\à imprimer
[06/05/2011 - 08:43:12 | N | 28916] E:\GrilleEvaluationStage.pdf
[04/04/2011 - 13:58:52 | D ] E:\SIHATEUR
[27/05/2010 - 18:51:48 | D ] E:\Docs
[22/11/2010 - 16:59:22 | D ] E:\Déontologie
[11/04/2011 - 13:20:08 | N | 45056] E:\TABLEAU_protocole_2010-2011 23-03-2011.xls
[29/11/2010 - 13:04:10 | N | 23040] E:\questionnaire reforme.doc
[09/05/2011 - 17:53:44 | N | 15872] E:\Tableaux résultats Quelle Rencontre TSLO-TSLE.xls
[09/05/2011 - 22:21:48 | N | 25088] E:\HYPOTHESES 09-05-2011.doc
[09/12/2010 - 14:49:22 | D ] E:\Musique
[17/05/2011 - 18:17:36 | N | 631296] E:\Partie pratique complète corrigée.doc
[12/03/2011 - 11:45:22 | N | 57344] E:\JEUNESSE ET RECONSTRUCTION A TRADUIRE - KVDA_2011_part_4.doc
[17/05/2011 - 23:51:22 | N | 405871] E:\Partie pratique complète.doc
[20/05/2011 - 12:16:02 | D ] E:\Softwares VIRUS
[04/04/2011 - 13:54:06 | D ] E:\Photos
[19/07/2009 - 20:28:10 | D ] F:\La.Vie.Moderne.FRENCH.DVDRip.XviD-ZANBiC
[23/08/2009 - 21:15:46 | D ] F:\Ne Le Dis A Personne
[27/05/2011 - 13:55:46 | N | 60928] F:\Seminaire 1 (Boucand) - 2010_11_29 1.doc
[27/05/2011 - 13:56:06 | N | 38912] F:\Seminaire 1 (Boucand) - 2010_11_29 2.doc
[27/05/2011 - 13:56:22 | N | 70656] F:\Seminaire 10 (Carton) - 2011_01_05.doc
[27/05/2011 - 13:56:38 | N | 785408] F:\Seminaire 10 (Carton) - 2011_01_12.doc
[27/05/2011 - 13:56:48 | N | 37376] F:\Seminaire 10 (Carton) - 2011_01_19.doc
[27/05/2011 - 13:57:32 | N | 641516] F:\Seminaire%2010%20%28Carton%29%20-%20Enf%20sourds%20mater%201.pdf
[27/05/2011 - 13:58:08 | N | 946125] F:\Seminaire%2010%20%28Carton%29%20-%20Enf%20sourds%20mater%202.pdf
[27/05/2011 - 13:58:18 | N | 524078] F:\Seminaire%2010%20%28Carton%29%20-%20Enf%20sourds%20mater%203.pdf
[27/05/2011 - 14:11:38 | N | 58368] F:\Seminaire 11 (Boucand) - 2011_01_10 1.doc
[27/05/2011 - 14:11:52 | N | 126976] F:\Seminaire 11 (Boucand) - 2011_01_10 2.doc
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_RUPPERT.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
Re,
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}] =>Adware.SPointer
[HKCU\Software\Spointer] =>Adware.SPointer
C:\Users\Louise\AppData\Roaming\Adobe\plugs =>Trojan.FakeAlert
C:\Users\Louise\AppData\Roaming\Adobe\shed =>Trojan.FakeAlert
FirewallRAZ
EmptyTemp
EmptyFlash
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}] =>Adware.SPointer
[HKCU\Software\Spointer] =>Adware.SPointer
C:\Users\Louise\AppData\Roaming\Adobe\plugs =>Trojan.FakeAlert
C:\Users\Louise\AppData\Roaming\Adobe\shed =>Trojan.FakeAlert
FirewallRAZ
EmptyTemp
EmptyFlash
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
Voilà le rapport :
Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-27-05-2011-18-48-46.txt
Run by Louise at 27/05/2011 18:48:46
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421} => Clé supprimée avec succès
HKCU\Software\Spointer => Clé absente
========== Valeur(s) du Registre ==========
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (None) : {87200944-D227-404C-8066-784C1870A350} => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Users\Louise\AppData\Roaming\Adobe\plugs => Supprimé et mis en quarantaine
C:\Users\Louise\AppData\Roaming\Adobe\shed => Supprimé et mis en quarantaine
Dossiers temporaires Windows supprimés: 102
Dossiers Flash Cookies supprimés : 23
========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1588
Fichiers Flash Cookies supprimés : 16
========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Dossier(s)
2 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-27-05-2011-18-48-46.txt
Run by Louise at 27/05/2011 18:48:46
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421} => Clé supprimée avec succès
HKCU\Software\Spointer => Clé absente
========== Valeur(s) du Registre ==========
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (None) : {87200944-D227-404C-8066-784C1870A350} => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Users\Louise\AppData\Roaming\Adobe\plugs => Supprimé et mis en quarantaine
C:\Users\Louise\AppData\Roaming\Adobe\shed => Supprimé et mis en quarantaine
Dossiers temporaires Windows supprimés: 102
Dossiers Flash Cookies supprimés : 23
========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1588
Fichiers Flash Cookies supprimés : 16
========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Dossier(s)
2 : Fichier(s)
End of the scan
J'ai fait la même manip pourtant.. C'est bon avec ça ?
(pas bon signe j'ai l'impression)
https://pjjoint.malekal.com/files.php?id=a42187c0f814107
(pas bon signe j'ai l'impression)
https://pjjoint.malekal.com/files.php?id=a42187c0f814107
Re,
Oui ton PC est encore infecté !
Attention, avant de commencer, lit attentivement la procédure
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\
? Fais un clic droit sur ce lien, enregistre le dans ton bureau
Voici Aide combofix
? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\
? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
? Mets-le en langue française F
? Tape sur la touche 1 (Yes) pour démarrer le scan.
? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
? Note : Le rapport se trouve également là : C:\ComboFix.txt
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Membre, Contributeur
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Oui ton PC est encore infecté !
Attention, avant de commencer, lit attentivement la procédure
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\
? Fais un clic droit sur ce lien, enregistre le dans ton bureau
Voici Aide combofix
? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\
? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
? Mets-le en langue française F
? Tape sur la touche 1 (Yes) pour démarrer le scan.
? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
? Note : Le rapport se trouve également là : C:\ComboFix.txt
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Membre, Contributeur
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
Et voilà :
(NB : avast s'est réactivé tout seul car j'avais demandé seulement une désactivation de 10 min sans me douter que ça pourrait durer plus.. ça n'a pas eu l'air d'avoir un quelconque impact, mais j'espère que ça n'a effectivement rien perturbé)
Merci beaucoup pour ta disponibilité en tout cas.
ComboFix 11-05-26.05 - Louise 27/05/2011 20:24:55.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3001.2218 [GMT 2:00]
Lancé depuis: c:\users\Louise\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Louise\AppData\Roaming\.#
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-27 au 2011-05-27 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-27 15:21 . 2011-05-27 16:24 -------- d-----w- C:\UsbFix
2011-05-27 15:11 . 2011-05-27 15:11 -------- d-----w- c:\program files\Ad-Remover
2011-05-27 09:29 . 2011-05-27 16:58 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-27 09:25 . 2011-05-27 17:41 -------- d-----w- c:\program files\ZHPDiag
2011-05-26 17:12 . 2011-05-26 17:12 -------- d-----w- c:\program files\Common Files\Java
2011-05-21 07:40 . 2011-05-24 09:41 -------- d-----w- c:\users\Louise\AppData\Local\Adobe
2011-05-21 06:56 . 2011-05-21 07:13 -------- d-----w- c:\program files\GridinSoft Trojan Killer
2011-05-21 06:46 . 2011-05-21 06:46 -------- d-----w- c:\users\Louise\AppData\Local\Acer ePower Management V4
2011-05-20 16:38 . 2011-05-20 16:38 -------- d-----w- c:\program files\CCleaner
2011-05-20 15:22 . 2011-05-20 15:22 -------- d-----w- c:\users\Louise\AppData\Roaming\Malwarebytes
2011-05-20 15:22 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-20 15:22 . 2011-05-20 15:22 -------- d-----w- c:\programdata\Malwarebytes
2011-05-20 15:22 . 2011-05-20 15:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-20 15:01 . 2011-05-20 15:01 39192 ----a-w- c:\windows\system32\Partizan.exe
2011-05-20 15:01 . 2011-05-20 15:01 35816 ----a-w- c:\windows\system32\drivers\Partizan.sys
2011-05-20 14:26 . 2011-05-20 14:26 2 --shatr- c:\windows\winstart.bat
2011-05-20 14:25 . 2011-05-20 14:25 -------- d-----w- c:\program files\Greatis
2011-05-19 20:13 . 2008-01-21 02:23 6144 ----a-w- c:\windows\system32\beep.sys
2011-05-16 12:40 . 2005-04-03 20:59 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-05-16 12:39 . 2011-05-16 12:39 -------- d-----w- c:\program files\SAS Institute Inc
2011-05-16 12:14 . 2011-05-16 12:16 -------- d-----w- C:\JMP9Trial_Install
2011-05-16 09:07 . 2011-05-16 09:07 -------- d-----w- c:\programdata\Oberon Games
2011-05-11 19:23 . 2011-05-12 18:53 -------- d-----w- c:\users\Louise\AppData\Roaming\Iwuc
2011-05-11 19:23 . 2011-05-11 20:03 -------- d-----w- c:\users\Louise\AppData\Roaming\Caopam
2011-05-07 07:35 . 2011-05-07 07:35 -------- d-----w- c:\users\Louise\AppData\Local\SAS
2011-05-07 07:15 . 2011-05-16 12:38 -------- d-----w- c:\program files\SAS
2011-05-07 07:09 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2011-05-07 07:09 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2011-05-07 07:09 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll
2011-05-07 07:09 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll
2011-05-07 07:09 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll
2011-05-04 07:34 . 2011-04-18 07:15 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{78C81767-188F-4D39-B526-7A1F3D94BE4E}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-27 16:24 . 2011-05-27 16:24 233716 ----a-w- C:\UsbFix_Upload_Me_RUPPERT.zip
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-01-21 . 67E506B75BD5326A3EC7B70BD014DFB6 . 6144 . . [6.0.6001.18000] . . c:\windows\System32\beep.sys
.
c:\windows\System32\drivers\beep.sys ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-05-14 21:02 120104 ------w- c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"OrangePlayer"="c:\program files\Orange\Media Player\Media Player.exe" [2009-09-05 319488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-12 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-15 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-15 175128]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-15 153624]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-14 98304]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-04-11 7399968]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-04-09 1071624]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-05-26 253696]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2009-03-30 62760]
"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-05-15 440864]
"ODDPwr"="c:\program files\Acer\Optical Drive Power Management\ODDPwr.exe" [2009-04-29 176128]
"EgisTecLiveUpdate"="c:\program files\EgisTec Egis Software Update\EgisUpdate.exe" [2009-05-13 199464]
"mwlDaemon"="c:\program files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2009-05-14 345384]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"OrangePlayer"="c:\program files\Orange\Media Player\Media Player.exe" [2009-09-05 319488]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-7-13 565248]
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2010-1-10 118784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1ca5f1af3aaf39e;Service Google Update (gupdate1ca5f1af3aaf39e);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 133104]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-21 179712]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 133104]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2011-05-20 35816]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-02-03 28224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 aswSP;aswSP; [x]
S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [2008-12-04 19504]
S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [2008-12-04 16432]
S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [2008-12-04 59952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-06-15 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-03-09 51792]
S2 DsiWMIService;Dritek WMI Service;c:\program files\Launch Manager\dsiwmis.exe [2009-04-11 117256]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [2009-05-15 703008]
S2 MWLService;MyWinLocker Service;c:\program files\EgisTec\MyWinLocker 3\x86\\MWLService.exe [2009-05-14 305448]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-05-26 62208]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
S2 ODDPwrSvc;Acer ODD Power Service;c:\program files\Acer\Optical Drive Power Management\ODDPWRSvc.exe [2009-04-29 118784]
S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2009-02-05 237568]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-06-15 4989952]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-06-15 106496]
S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd32.sys [2009-06-15 4740096]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [2009-04-01 50176]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-09-25 3666432]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 19:52]
.
2011-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 19:52]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-27 20:33
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3343674620-401025763-874009524-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*jpg*]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-3343674620-401025763-874009524-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*jpg*\OpenWithList]
@Class="Shell"
.
Heure de fin: 2011-05-27 20:36:38
ComboFix-quarantined-files.txt 2011-05-27 18:36
.
Avant-CF: 187 497 402 368 octets libres
Après-CF: 187 516 166 144 octets libres
.
- - End Of File - - 00659E6D8D5CE18A9B50F5CCB665A938
(NB : avast s'est réactivé tout seul car j'avais demandé seulement une désactivation de 10 min sans me douter que ça pourrait durer plus.. ça n'a pas eu l'air d'avoir un quelconque impact, mais j'espère que ça n'a effectivement rien perturbé)
Merci beaucoup pour ta disponibilité en tout cas.
ComboFix 11-05-26.05 - Louise 27/05/2011 20:24:55.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3001.2218 [GMT 2:00]
Lancé depuis: c:\users\Louise\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Louise\AppData\Roaming\.#
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-27 au 2011-05-27 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-27 15:21 . 2011-05-27 16:24 -------- d-----w- C:\UsbFix
2011-05-27 15:11 . 2011-05-27 15:11 -------- d-----w- c:\program files\Ad-Remover
2011-05-27 09:29 . 2011-05-27 16:58 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-27 09:25 . 2011-05-27 17:41 -------- d-----w- c:\program files\ZHPDiag
2011-05-26 17:12 . 2011-05-26 17:12 -------- d-----w- c:\program files\Common Files\Java
2011-05-21 07:40 . 2011-05-24 09:41 -------- d-----w- c:\users\Louise\AppData\Local\Adobe
2011-05-21 06:56 . 2011-05-21 07:13 -------- d-----w- c:\program files\GridinSoft Trojan Killer
2011-05-21 06:46 . 2011-05-21 06:46 -------- d-----w- c:\users\Louise\AppData\Local\Acer ePower Management V4
2011-05-20 16:38 . 2011-05-20 16:38 -------- d-----w- c:\program files\CCleaner
2011-05-20 15:22 . 2011-05-20 15:22 -------- d-----w- c:\users\Louise\AppData\Roaming\Malwarebytes
2011-05-20 15:22 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-20 15:22 . 2011-05-20 15:22 -------- d-----w- c:\programdata\Malwarebytes
2011-05-20 15:22 . 2011-05-20 15:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-20 15:01 . 2011-05-20 15:01 39192 ----a-w- c:\windows\system32\Partizan.exe
2011-05-20 15:01 . 2011-05-20 15:01 35816 ----a-w- c:\windows\system32\drivers\Partizan.sys
2011-05-20 14:26 . 2011-05-20 14:26 2 --shatr- c:\windows\winstart.bat
2011-05-20 14:25 . 2011-05-20 14:25 -------- d-----w- c:\program files\Greatis
2011-05-19 20:13 . 2008-01-21 02:23 6144 ----a-w- c:\windows\system32\beep.sys
2011-05-16 12:40 . 2005-04-03 20:59 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-05-16 12:39 . 2011-05-16 12:39 -------- d-----w- c:\program files\SAS Institute Inc
2011-05-16 12:14 . 2011-05-16 12:16 -------- d-----w- C:\JMP9Trial_Install
2011-05-16 09:07 . 2011-05-16 09:07 -------- d-----w- c:\programdata\Oberon Games
2011-05-11 19:23 . 2011-05-12 18:53 -------- d-----w- c:\users\Louise\AppData\Roaming\Iwuc
2011-05-11 19:23 . 2011-05-11 20:03 -------- d-----w- c:\users\Louise\AppData\Roaming\Caopam
2011-05-07 07:35 . 2011-05-07 07:35 -------- d-----w- c:\users\Louise\AppData\Local\SAS
2011-05-07 07:15 . 2011-05-16 12:38 -------- d-----w- c:\program files\SAS
2011-05-07 07:09 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2011-05-07 07:09 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2011-05-07 07:09 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll
2011-05-07 07:09 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll
2011-05-07 07:09 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll
2011-05-04 07:34 . 2011-04-18 07:15 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{78C81767-188F-4D39-B526-7A1F3D94BE4E}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-27 16:24 . 2011-05-27 16:24 233716 ----a-w- C:\UsbFix_Upload_Me_RUPPERT.zip
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-01-21 . 67E506B75BD5326A3EC7B70BD014DFB6 . 6144 . . [6.0.6001.18000] . . c:\windows\System32\beep.sys
.
c:\windows\System32\drivers\beep.sys ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-05-14 21:02 120104 ------w- c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"OrangePlayer"="c:\program files\Orange\Media Player\Media Player.exe" [2009-09-05 319488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-12 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-15 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-15 175128]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-15 153624]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-14 98304]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-04-11 7399968]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-04-09 1071624]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-05-26 253696]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2009-03-30 62760]
"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-05-15 440864]
"ODDPwr"="c:\program files\Acer\Optical Drive Power Management\ODDPwr.exe" [2009-04-29 176128]
"EgisTecLiveUpdate"="c:\program files\EgisTec Egis Software Update\EgisUpdate.exe" [2009-05-13 199464]
"mwlDaemon"="c:\program files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2009-05-14 345384]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"OrangePlayer"="c:\program files\Orange\Media Player\Media Player.exe" [2009-09-05 319488]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-7-13 565248]
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2010-1-10 118784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1ca5f1af3aaf39e;Service Google Update (gupdate1ca5f1af3aaf39e);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 133104]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-21 179712]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 133104]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2011-05-20 35816]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-02-03 28224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 aswSP;aswSP; [x]
S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [2008-12-04 19504]
S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [2008-12-04 16432]
S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [2008-12-04 59952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-06-15 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-03-09 51792]
S2 DsiWMIService;Dritek WMI Service;c:\program files\Launch Manager\dsiwmis.exe [2009-04-11 117256]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [2009-05-15 703008]
S2 MWLService;MyWinLocker Service;c:\program files\EgisTec\MyWinLocker 3\x86\\MWLService.exe [2009-05-14 305448]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-05-26 62208]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
S2 ODDPwrSvc;Acer ODD Power Service;c:\program files\Acer\Optical Drive Power Management\ODDPWRSvc.exe [2009-04-29 118784]
S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2009-02-05 237568]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-06-15 4989952]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-06-15 106496]
S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd32.sys [2009-06-15 4740096]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [2009-04-01 50176]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-09-25 3666432]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 19:52]
.
2011-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 19:52]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-27 20:33
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3343674620-401025763-874009524-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*jpg*]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-3343674620-401025763-874009524-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*jpg*\OpenWithList]
@Class="Shell"
.
Heure de fin: 2011-05-27 20:36:38
ComboFix-quarantined-files.txt 2011-05-27 18:36
.
Avant-CF: 187 497 402 368 octets libres
Après-CF: 187 516 166 144 octets libres
.
- - End Of File - - 00659E6D8D5CE18A9B50F5CCB665A938
ça a l'air mieux ?
Me recommandes-tu d'utiliser un antivirus payant à l'avenir ?... ou est-ce que la qualité de la protection n'y aurait rien changé ?
Me recommandes-tu d'utiliser un antivirus payant à l'avenir ?... ou est-ce que la qualité de la protection n'y aurait rien changé ?
Re,
1/
Pour bien vérifier que le fichier ci-dessous est infecté rend toi sur ce site
Virus Total
Colle directement le chemin du fichier dans l'espace "Parcourir"
apres analyse :
c:\windows\winstart.bat
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation
actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand
nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser
la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine
réponse.
2/
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
@+
1/
Pour bien vérifier que le fichier ci-dessous est infecté rend toi sur ce site
Virus Total
Colle directement le chemin du fichier dans l'espace "Parcourir"
apres analyse :
c:\windows\winstart.bat
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation
actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand
nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser
la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine
réponse.
2/
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
@+
1/ Au moment de l'analyse du fichier, on m'a informée que ce même fichier avait déjà été analysé. J'ai quand même relancé une nouvelle analyse.
Lien des résultats :
http://www.virustotal.com/file-scan/report.html?id=7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6-1306528006
Je passe à la prochaine étape..
Lien des résultats :
http://www.virustotal.com/file-scan/report.html?id=7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6-1306528006
Je passe à la prochaine étape..
Au premier rapport généré mbr.log, il n'y avait pas le "MBR rootkit code detected" en question, mais bien le message que je suis sensée obtenir à la fin : (je te le copie-colle)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Du coup pas besoin que je fasse la manip de suppression de rootkit ?
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Du coup pas besoin que je fasse la manip de suppression de rootkit ?
Re,
1/
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
S'il existe rootkit il faut le supprimer en effectuant l'étape située ci-dessus!
STP de reprendre ce qui est indiqué ICI en 2/:gmer
2/ Ensuite
un nouveau rapport ZHPDiag
1/
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
S'il existe rootkit il faut le supprimer en effectuant l'étape située ci-dessus!
STP de reprendre ce qui est indiqué ICI en 2/:gmer
2/ Ensuite
un nouveau rapport ZHPDiag
Voici le dernier rapport mbr:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Et le le lien pour le dernier rapport ZHPDiag :
https://pjjoint.malekal.com/files.php?id=2f8fdb76d35612
Désolée je pense que rien n'a dû bouger..
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Et le le lien pour le dernier rapport ZHPDiag :
https://pjjoint.malekal.com/files.php?id=2f8fdb76d35612
Désolée je pense que rien n'a dû bouger..
J'ai respecté la marche à suivre avec Rogue Killer, voilà le rapport :
RogueKiller V5.1.7 [26/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Louise [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 27/05/2011 11:15:34
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 4
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 20 / Fail 6822
Mes documents: Success 0 / Fail 12
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 2
Mes videos: Success 0 / Fail 0
Disques locaux: Success 0 / Fail 16940
Sauvegarde: [NOT FOUND]
Termine : << RKreport[1].txt >>
RKreport[1].txt
Je télécharge maintenant ZHPDiag et fais la prochaine manip..
NB : il y a des onglets intempestifs qui s'ouvrent dans ma fenêtre, comme ceci :
Search for skimpy thongs
Online search for skimpy thongs
click me
68<50
Merci pour l'aide,
http://pjjoint.malekal.com/files.php?id=i13g10y6v14r14l6x9p13b11