Sujet Précédent Sujet Suivant

Problème au démarrage de mon portable - virus

Résolu/Fermé
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 - 3 juil. 2011 à 23:39
 Utilisateur anonyme - 6 juil. 2011 à 08:52
Bonjour,


J'ai du redémerrer mon ordinateur car il ramait pas mal. Au démarrage, mon bureau avait changé: plus de photo de papier peint, aucunes icônes sauf Mozilla Firefox, une fenêtre qui s'ouvre et qui me dit qu'il y a une erreur sur mon disque dur puis une autre comme quoi mon uc est à 80% et que c'est critique...

J'ai ouvert le gestionnaire des taches et arrêté des processus louches:
35905272.exe, qui correspond à puTTy SSH Authentification Agent
attrib.exe, qui correspond à utilitaire attribute (il y était 2 fois)
et UtwXKujqtDbKL.exe, qui correspond à puTTy SSH Authentification Agent

Il ne me semble pas que ces processus étaient là avant. En tous cas, quand je les ai arrêtés, les fenêtres ont disparu et tout va mieux. Le problème c'est qu'à chaque fois que je redémarre, ça recommence. J'ai télécharger kaspersky car j'avais des problèmes avec mon anti-virus, qui en fait ne fonctionnait plus (d'où une belle infection de mon système je pense) mais il n'a rien détecté. j'ai fait une anlyse complète du système mais rien.

Que dois-je faire? Aidez-moi svp!

Je me débrouille comme je peux mais je ne suis pas du tout une pro de l'ordi alors si quelqu'un veut bien m'aider en utilisant des termes "civilisés" et pas trop compliqués, ça serait bien gentil! J'ai peur de perdre mes données si ça continue...

Merci d'avance pour l'aide apportée.



Valoudebeste, c'est moi!



A voir également:

49 réponses

Réponse 1 / 49
Utilisateur anonyme
3 juil. 2011 à 23:40
salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
2
Réponse 2 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 00:38
Voilà, j'y suis arrivée!

http://www.cijoint.fr/cjlink.php?file=cj201107/cijGeeRUNP.txt
0
Réponse 3 / 49
Utilisateur anonyme
4 juil. 2011 à 01:04
ok desinstalle SweetIM

=================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-

file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys

folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM

list::
C:\ProgramData\d3a7ed3

attrib::
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Réponse 4 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 11:17
Bonjour,

J'ai eu beau essayer encore et encore, rien ne marche. Pre_script n'apparait pas, je ne sais donc rien faire. Faut-il recommencer la procédure?
0
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 11:17
Je suppose que je dois me mettre sur une session administrateur?
0
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 11:19
j'ai voulu réessayer mis cette fois, quand je clique sur pre_scan, il me met une fenêtre avec "exécuter", ce que je fais mais la fenêtre en question ne fait que réapparaître et rien ne s'exécute en fait.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 49
Utilisateur anonyme
4 juil. 2011 à 11:51
un fichier pas un raccourci hein ?
0
Réponse 6 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 12:12
Sur mon bureau j'ai un dossier "public", et les icones "internet explorer", un raccourci "mozilla firefox" et celle de "pre_scan" mais j'ai beau essayer de les glisser dessus, il ne se passe rien maintenant!
0
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 12:14
la fenêtre "exécuter" apparait tout le temps, même si je clique dessus, elle revient encore mais il ne se passe toujours rien
0
Réponse 7 / 49
Utilisateur anonyme
4 juil. 2011 à 12:43
Prends-le ici :

http://dl.dropbox.com/u/21363431/Pre_Script.exe
0
Réponse 8 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 16:01
Ca ne marche ps non plus, ça refait pareil
0
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 16:06
Est-il possible de récupérer mes données (photos, dossiers avec mes fichiers...) pour que je les transfère sur un disque dur externe et peut-être m'expliquer la procédure pour faire un "reset" de l'ordi? Enfin, en dernier recours évidemment, s'il n'y a pas d'autre solution, vu que pour l'instant, rien ne marche...
0
Utilisateur anonyme
4 juil. 2011 à 16:10
voir procedure en dessous
0
Réponse 9 / 49
Utilisateur anonyme
4 juil. 2011 à 16:05

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 10 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 16:11
ok, c'est parti alors! A tout de suite j'espère, si le portable n'explose pas d'ici là lol!
0
Réponse 11 / 49
Utilisateur anonyme
4 juil. 2011 à 16:16
:) à te lire
0
Réponse 12 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 16:30
voilà ce qui est apparu dans le bloc note:

ComboFix 11-07-03.04 - Valérie 04/07/2011 16:16:26.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.32.1036.18.3001.1828 [GMT 2:00]
Lancé depuis: c:\users\ValÚrie\Desktop\Valerie.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
FW: Kaspersky Internet Security *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
SP: Kaspersky Internet Security *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\DJ Sniff\AppData\Roaming\Adobe\plugs
c:\users\DJ Sniff\AppData\Roaming\Adobe\plugs\mmc235.exe
c:\users\DJ Sniff\AppData\Roaming\Adobe\plugs\mmc31501671.txt
c:\users\DJ Sniff\AppData\Roaming\Adobe\plugs\mmc68.exe
c:\users\DJ Sniff\AppData\Roaming\Adobe\shed
c:\users\DJ Sniff\AppData\Roaming\Adobe\shed\thr1.chm
c:\users\DJ Sniff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Vista Repair
c:\users\DJ Sniff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Vista Repair\Uninstall Windows Vista Repair.lnk
c:\users\DJ Sniff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Vista Repair\Windows Vista Repair.lnk
c:\users\DJ Sniff\AppData\Roaming\Security Antivirus
c:\users\DJ Sniff\GoToAssistDownloadHelper.exe
c:\windows\jestertb.dll
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-06-04 au 2011-07-04 ))))))))))))))))))))))))))))))))))))
.
.
2011-07-03 23:54 . 2011-07-04 00:08 -------- d-----w- C:\Kill'em
2011-07-03 21:34 . 2011-07-03 21:35 -------- d-----w- C:\rsit
2011-07-03 21:34 . 2011-07-03 21:35 -------- d-----w- c:\program files\trend micro
2011-07-03 20:40 . 2011-04-24 21:13 110992 ----a-w- c:\program files\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-07-03 20:40 . 2011-04-24 21:13 147856 ----a-w- c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-07-03 18:25 . 2011-07-03 18:43 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-07-03 18:25 . 2011-07-03 18:25 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-07-03 18:23 . 2011-07-04 14:11 -------- d--h--w- c:\programdata\Kaspersky Lab
2011-07-03 18:23 . 2011-07-03 18:23 -------- d-----w- c:\program files\Kaspersky Lab
2011-07-01 07:55 . 2011-06-07 15:55 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9050D235-6F5A-4175-9B89-6D07807D5742}\mpengine.dll
2011-06-29 08:17 . 2011-04-29 15:59 276992 ----a-w- c:\windows\system32\schannel.dll
2011-06-17 08:15 . 2011-06-17 08:15 -------- d-----w- c:\program files\Common Files\Adobe
2011-06-16 09:03 . 2011-05-02 17:16 739328 ----a-w- c:\windows\system32\inetcomm.dll
2011-06-16 09:03 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-06-16 09:03 . 2011-04-29 13:24 214016 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-06-16 09:03 . 2011-04-29 13:24 79872 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-06-16 09:03 . 2011-04-29 13:24 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 09:03 . 2011-05-02 12:02 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-06-15 15:23 . 2011-06-15 15:23 14744 ----a-w- c:\users\Valérie\AppData\Roaming\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
2011-06-06 10:55 . 2011-06-06 10:55 183696 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-06-06 10:55 . 2011-06-06 10:55 183696 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-15 15:23 . 2011-06-15 15:23 14744 ----a-w- c:\users\Valérie\AppData\Roaming\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
2011-06-15 15:23 . 2011-06-15 15:23 14744 ----a-w- c:\users\Valérie\AppData\Roaming\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
2011-06-15 08:07 . 2011-05-18 09:16 404640 ---ha-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-24 17:14 . 2009-10-03 06:54 222080 ---h--w- c:\windows\system32\MpSigStub.exe
2011-04-24 21:13 . 2011-04-24 21:13 229776 ----a-w- c:\windows\system32\klogon.dll
2011-04-06 18:49 . 2009-03-30 14:30 564632 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2011-04-06 18:49 . 2009-03-30 14:20 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-11 6724128]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-09 1418536]
"WarReg_PopUp"="c:\program files\eMachines\WR_PopUp\WarReg_PopUp.exe" [2008-11-04 57344]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [2011-04-24 202296]
.
c:\users\DJ Sniff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Pampers Pregnancy Widget.lnk - c:\users\Val'rie\AppData\Local\Temp\Rar$EX00.778\PampersPregnancyWidget.exe [N/A]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Olympus ib"="c:\program files\Olympus\ib\olycamdetect.exe" /Startup
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Olympus ib"="c:\program files\Olympus\ib\olycamdetect.exe" /Startup
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"LManager"=c:\progra~1\LAUNCH~1\LManager.exe
"MDS_Menu"="c:\program files\Olympus\ib\MUITransfer\MUIStartMenu.exe" "c:\program files\Olympus\ib" UpdateWithCreateOnce "Software\OLYMPUS\ib\1.0"
"Acer ePower Management"=c:\program files\eMachines\eMachines Power Management\ePowerTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 135664]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 135664]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
R3 OlyCamComm;OLYMPUS USB Communication Device;c:\windows\system32\DRIVERS\OlyCamComm.sys [2009-09-10 21648]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [2011-03-04 11352]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2011-03-10 23856]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 ePowerSvc;Acer ePower Service;c:\program files\eMachines\eMachines Power Management\ePowerSvc.exe [2009-02-06 653856]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-11-02 19984]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [2009-11-13 57344]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 11:53]
.
2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 11:53]
.
2011-07-03 c:\windows\Tasks\User_Feed_Synchronization-{49A5024C-0728-4FBD-8D93-301037E81C9E}.job
- c:\windows\system32\msfeedssync.exe [2011-06-16 04:32]
.
2011-07-04 c:\windows\Tasks\User_Feed_Synchronization-{DFCF48F0-925C-4690-9F6B-B5A6E872B9BE}.job
- c:\windows\system32\msfeedssync.exe [2011-06-16 04:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Valérie\AppData\Roaming\Mozilla\Firefox\Profiles\9xqc6b5h.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - SweetIM Search
FF - prefs.js: browser.startup.homepage - hxxp://home.sweetim.com/?crg=2.1002
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&crg=2.1002&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Anti-bannière: KavAntiBanner@Kaspersky.ru - c:\program files\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Analyse des liens (URL Advisor): linkfilter@kaspersky.ru - c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Clavier virtuel: virtualKeyboard@kaspersky.ru - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: browser.blink_allowed - false
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-04 16:23
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
.
Heure de fin: 2011-07-04 16:24:58
ComboFix-quarantined-files.txt 2011-07-04 14:24
.
Avant-CF: 134 112 960 512 octets libres
Après-CF: 134 976 106 496 octets libres
.
- - End Of File - - FE4AAE1EE7AD5D5FA3240D404E2D2493


Je reviens dans une heure ou deux, vais faire des courses. En attendant, merci d'avance pour l'aide apportée!
0
Réponse 13 / 49
Utilisateur anonyme
4 juil. 2011 à 17:26

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000000

Firefox::
FF - prefs.js: browser.search.selectedEngine - SweetIM Search
FF - prefs.js: browser.startup.homepage - hxxp://home.sweetim.com/?crg=2.1002
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&crg=2.1002&q=



------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 14 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 18:21
voilà le rapport:

ComboFix 11-07-03.04 - Valérie 04/07/2011 18:02:09.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.32.1036.18.3001.1759 [GMT 2:00]
Lancé depuis: c:\users\Valérie\Desktop\Valerie.exe
Commutateurs utilisés :: c:\users\Valérie\Desktop\CFScript.txt
AV: Kaspersky Internet Security *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
FW: Kaspersky Internet Security *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
SP: Kaspersky Internet Security *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-06-04 au 2011-07-04 ))))))))))))))))))))))))))))))))))))
.
.
2011-07-04 16:08 . 2011-07-04 16:12 -------- d-----w- c:\users\Valérie\AppData\Local\temp
2011-07-04 16:08 . 2011-07-04 16:08 -------- d-----w- c:\users\DJ Sniff\AppData\Local\temp
2011-07-04 16:08 . 2011-07-04 16:08 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-04 14:15 . 2011-07-04 14:25 -------- d-----w- C:\Valerie
2011-07-03 23:54 . 2011-07-04 00:08 -------- d-----w- C:\Kill'em
2011-07-03 21:34 . 2011-07-03 21:35 -------- d-----w- C:\rsit
2011-07-03 21:34 . 2011-07-03 21:35 -------- d-----w- c:\program files\trend micro
2011-07-03 20:40 . 2011-04-24 21:13 110992 ----a-w- c:\program files\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-07-03 20:40 . 2011-04-24 21:13 147856 ----a-w- c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-07-03 18:25 . 2011-07-03 18:43 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2011-07-03 18:25 . 2011-07-03 18:25 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-07-03 18:23 . 2011-07-04 16:12 -------- d--h--w- c:\programdata\Kaspersky Lab
2011-07-03 18:23 . 2011-07-03 18:23 -------- d-----w- c:\program files\Kaspersky Lab
2011-07-01 07:55 . 2011-06-07 15:55 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9050D235-6F5A-4175-9B89-6D07807D5742}\mpengine.dll
2011-06-29 08:17 . 2011-04-29 15:59 276992 ----a-w- c:\windows\system32\schannel.dll
2011-06-17 08:15 . 2011-06-17 08:15 -------- d-----w- c:\program files\Common Files\Adobe
2011-06-16 09:03 . 2011-05-02 17:16 739328 ----a-w- c:\windows\system32\inetcomm.dll
2011-06-16 09:03 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-06-16 09:03 . 2011-04-29 13:24 214016 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-06-16 09:03 . 2011-04-29 13:24 79872 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-06-16 09:03 . 2011-04-29 13:24 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 09:03 . 2011-05-02 12:02 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-06-15 15:23 . 2011-06-15 15:23 14744 ----a-w- c:\users\Valérie\AppData\Roaming\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
2011-06-06 10:55 . 2011-06-06 10:55 183696 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2011-06-06 10:55 . 2011-06-06 10:55 183696 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-15 15:23 . 2011-06-15 15:23 14744 ----a-w- c:\users\Valérie\AppData\Roaming\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
2011-06-15 15:23 . 2011-06-15 15:23 14744 ----a-w- c:\users\Valérie\AppData\Roaming\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
2011-06-15 08:07 . 2011-05-18 09:16 404640 ---ha-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-24 17:14 . 2009-10-03 06:54 222080 ---h--w- c:\windows\system32\MpSigStub.exe
2011-04-24 21:13 . 2011-04-24 21:13 229776 ----a-w- c:\windows\system32\klogon.dll
2011-04-06 18:49 . 2009-03-30 14:30 564632 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2011-04-06 18:49 . 2009-03-30 14:20 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-11 6724128]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-09 1418536]
"WarReg_PopUp"="c:\program files\eMachines\WR_PopUp\WarReg_PopUp.exe" [2008-11-04 57344]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [2011-04-24 202296]
.
c:\users\DJ Sniff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Pampers Pregnancy Widget.lnk - c:\users\Val'rie\AppData\Local\Temp\Rar$EX00.778\PampersPregnancyWidget.exe [N/A]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Olympus ib"="c:\program files\Olympus\ib\olycamdetect.exe" /Startup
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Olympus ib"="c:\program files\Olympus\ib\olycamdetect.exe" /Startup
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"LManager"=c:\progra~1\LAUNCH~1\LManager.exe
"MDS_Menu"="c:\program files\Olympus\ib\MUITransfer\MUIStartMenu.exe" "c:\program files\Olympus\ib" UpdateWithCreateOnce "Software\OLYMPUS\ib\1.0"
"Acer ePower Management"=c:\program files\eMachines\eMachines Power Management\ePowerTray.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 135664]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 135664]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
R3 OlyCamComm;OLYMPUS USB Communication Device;c:\windows\system32\DRIVERS\OlyCamComm.sys [2009-09-10 21648]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [2011-03-04 11352]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2011-03-10 23856]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 ePowerSvc;Acer ePower Service;c:\program files\eMachines\eMachines Power Management\ePowerSvc.exe [2009-02-06 653856]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-11-02 19984]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [2009-11-13 57344]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 11:53]
.
2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-28 11:53]
.
2011-07-03 c:\windows\Tasks\User_Feed_Synchronization-{49A5024C-0728-4FBD-8D93-301037E81C9E}.job
- c:\windows\system32\msfeedssync.exe [2011-06-16 04:32]
.
2011-07-04 c:\windows\Tasks\User_Feed_Synchronization-{DFCF48F0-925C-4690-9F6B-B5A6E872B9BE}.job
- c:\windows\system32\msfeedssync.exe [2011-06-16 04:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Valérie\AppData\Roaming\Mozilla\Firefox\Profiles\9xqc6b5h.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - SweetIM Search
FF - prefs.js: browser.startup.homepage - hxxp://home.sweetim.com/?crg=2.1002
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&crg=2.1002&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Anti-bannière: KavAntiBanner@Kaspersky.ru - c:\program files\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Analyse des liens (URL Advisor): linkfilter@kaspersky.ru - c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Clavier virtuel: virtualKeyboard@kaspersky.ru - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: browser.blink_allowed - false
.
.
**************************************************************************
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés:
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\conime.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\PEV.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2011-07-04 18:16:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-07-04 16:16
ComboFix2.txt 2011-07-04 14:24
.
Avant-CF: 135 001 858 048 octets libres
Après-CF: 134 833 655 808 octets libres
.
- - End Of File - - A4D96A87769A7E4BCF34498F84D848FC
0
Réponse 15 / 49
Utilisateur anonyme
4 juil. 2011 à 20:00
reessaie le script avec pre_script maintenant
0
Réponse 16 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
4 juil. 2011 à 22:11
Encore un soucis: pas possible de poster pre_script vu qu'il ne s'affiche pas sur le bureau. en fait, des fenêtres noires apparaissent comme prévu mais ensuite, le bureau disparait (plus d'icone, plus rien sauf ma photo de fond d'écran). Jusque là, normal je pense mais après, ça coince. J'ai eu beau laisser l'ordi allumé sans rien toucher, il ne se passe rien de rien. J'ai du redémarrer du coup. Je pense que même en le laissant tourner toute la nuit, ça ne changera rien.
0
Réponse 17 / 49
Utilisateur anonyme
5 juil. 2011 à 00:19
non mais ti n'as pas pre_script.txt sur le bureau ?
0
Réponse 18 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
5 juil. 2011 à 00:22
non! quand je fais le truc avec pre_scan (cliquer-glisser un fichier), ça ouvre la fenêtre dans laquelle je copie-colle le log que tu m'as donné. j'enregistre et je ferme la fenêtre. On voit que ça commence à travailler puis à un moment donné, plus rien ne bouge, l'ordi ne répond plus, j'ai attendu pas mal de temps en le laissant, sans toucher à rien mais à un moment donné, j'ai redémarré, je ne vais quand même pas attendre toute la nuit!!! lol
0
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
5 juil. 2011 à 00:24
je remarque aussi que ce ne sont apparemment que les dossiers et autres de la session de mon copain qui ont disparu. Ma session administrateur est intacte je pense
0
Réponse 19 / 49
Utilisateur anonyme
5 juil. 2011 à 01:01
attends je ne comprends pas tu n'utilises pas les outils dans la session infectée ?
0
Réponse 20 / 49
valoudebeste Messages postés 43 Date d'inscription dimanche 3 juillet 2011 Statut Membre Dernière intervention 30 octobre 2011 1
5 juil. 2011 à 01:14
si j'essaie l'étape où je dois cliquer-glisser CFScript.txt sur combofix, il me dit que je dois être administrateur pour utiliser combofix. Autrement dit, encore bloquée!
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Annuaire portable gratuit à partir d'un nom
dani26 -
Authority -

9 réponses