Le PC de mes parents est-il infecté ?

Ben -  
 Utilisateur anonyme -
Bonjour,

Un "spécialiste" de l'informatique a vu l'ordinateur de mes parents aujourd'hui et leur indique que leur PC est infecté par un virus qui "cache les fichiers cachés de windows" et qui "ralentit le PC". Il leur demande 90€ pour nettoyer leur PC. Je trouve ça légèrement abusif.

J'ai donc demandé à mes parents de faire un scan HijackThis dont vous trouverez le rapport de logs dans la suite de ce message. J'aimerai savoir si le PC de mes parents est réellement infecté, et si c'est le cas, quelles sont les procédure à suivre pour supprimer le ou les virus présents.

Si vous avez besoin d'autres logs, n'hésitez pas à me les demander.

Merci par avance. 


Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 16:27:54, on 19/10/2011 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v7.00 (7.00.6000.17103) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 
C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe 
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe 
C:\WINDOWS\system32\hkcmd.exe 
C:\WINDOWS\system32\igfxpers.exe 
C:\WINDOWS\system32\igfxsrvc.exe 
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe 
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe 
C:\Program Files\Skype\Phone\Skype.exe 
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE 
D:\Documents\Catherine\Téléchargements\HiJackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\IPS\IPSBHO.DLL 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll 
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) 
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe 
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe 
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe 
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" 
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com 
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9A11399-6F23-4331-A774-663F2102EE0D}: NameServer = 192.168.1.1 
O23 - Service: McAfee Application Installer Cleanup (0080471219066906) (0080471219066906mcinstcleanup) - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\008047~1.EXE (file missing) 
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe 
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe 
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe 
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe 

-- 
End of file - 7233 bytes
A voir également:

12 réponses

Réponse 1 / 12
Utilisateur anonyme
 
salut

hijackthis ne vaut rien

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
1
Ben
 
Ça y est. J'ai récupérer les fichiers demandés.

le fichier OTL.txt :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijLSAqrS7.txt

le fichier Extra.txt :
http://www.cijoint.fr/cjlink.php?file=cj201110/ciju88EPqE.txt

J'attends ton retour. Merci par avance.
0
Réponse 2 / 12
lecoolldu94 Messages postés 2364 Statut Membre 177
 
tu as quel antivirus?
fait un scan avec ton antivirus lui te dira qui est suspect ...
0
Réponse 3 / 12
Utilisateur anonyme
 
salut faut lire !

O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe

avec norton j'ai un doute
0
Réponse 4 / 12
lecoolldu94 Messages postés 2364 Statut Membre 177
 
c'est un antivirus ça?
en ce qui est pour le ralentissement gestionnaire des taches>> processus
car le scan ne montre pas toujours car si c'est un virus sous forme d'application qui envoye des données de ton pc ça ne se verra pas au scan!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
Ben
 
Super, merci pour ta réponse et ta réactivité.

Je n'ai pas le PC à porté de main (je suis à Marseille et mes parents sont à Agen, mais je vais voir pour que ma mère fasse la manipulation et te transfère le fichier ASAP.
0
Utilisateur anonyme
 
ok :)

moi aussi je suis à Marseille ^^
0
Ben
 
J'aurai les fichiers de log demain soir.
0
Utilisateur anonyme
 
no souci :)
0
Réponse 6 / 12
Utilisateur anonyme
 
re

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques USB sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

0
Réponse 7 / 12
Ben 13 Messages postés 1 Statut Membre
 
Et voila le rapport d'USBFIX...

J'ai aussi récupérer un zip, "UsbFix_Upload_Me_DX2400". Si tu veux que je te l'envoi, dis le moi. 

############################## | UsbFix V 7.064 | [Suppression] 

Utilisateur: Catherine (Administrateur) # DX2400 
Mis à jour le 27/10/2011 par El Desaparecido 
Lancé à 19:54:17 | 28/10/2011 

Site Web: https://www.sosvirus.net/ 
Fichier suspect ? : http://eldesaparecido.com/support.php 
Contact: contact@eldesaparecido.com 

PC: Hewlett-Packard (HP Compaq dx2400 Microtower) (X86-based PC) # Desktop Computer 
CPU: Intel(R) Pentium(R) Dual  CPU  E2160  @ 1.80GHz (1800) 
RAM -> [ Total : 1014 | Free : 543 ] 
BIOS: BIOS Date: 06/16/08 11:02:10 Ver: 5.25 
BOOT: Normal boot 

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3 
WB: Windows Internet Explorer 7.0.5730.13 

SC: Security Center Service [ (!) Disabled ] 
WU: Windows Update Service [ Enabled ] 
FW: Windows FireWall Service [ Enabled ] 

C:\ (%systemdrive%) -> Disque fixe # 78 Go (46 Go libre(s) - 59%) [] # NTFS 
D:\ -> Disque fixe # 155 Go (125 Go libre(s) - 81%) [Données] # NTFS 
E:\ -> CD-ROM 
F:\ -> CD-ROM 
G:\ -> Disque fixe # 298 Go (252 Go libre(s) - 85%) [Disque Cathy] # NTFS 
L:\ -> Disque amovible # 954 Mo (745 Mo libre(s) - 78%) [CLÄ USB 1] # FAT 
M:\ -> Disque amovible # 2 Go (2 Go libre(s) - 92%) [] # FAT 

################## | Processus Actif | 

C:\WINDOWS\System32\smss.exe (692) 
C:\WINDOWS\system32\winlogon.exe (772) 
C:\WINDOWS\system32\services.exe (816) 
C:\WINDOWS\system32\lsass.exe (828) 
C:\WINDOWS\system32\svchost.exe (1016) 
C:\WINDOWS\System32\svchost.exe (1176) 
C:\WINDOWS\system32\svchost.exe (1220) 
C:\WINDOWS\Explorer.EXE (1532) 
C:\WINDOWS\system32\spoolsv.exe (1680) 
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (1800) 
C:\WINDOWS\system32\hkcmd.exe (1868) 
C:\WINDOWS\system32\igfxpers.exe (1888) 
C:\WINDOWS\system32\igfxsrvc.exe (1904) 
C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe (120) 
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe (220) 
C:\WINDOWS\system32\ctfmon.exe (564) 
C:\Program Files\Windows Live\Messenger\msnmsgr.exe (584) 
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (636) 
C:\WINDOWS\system32\svchost.exe (992) 
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe (1056) 
C:\Program Files\Skype\Phone\Skype.exe (1256) 
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe (1416) 
C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe (2244) 
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (2592) 
C:\WINDOWS\System32\svchost.exe (3044) 
C:\UsbFix\UsbFix.exe (1160) 

################## | Processus Stoppés | 

Stoppé! C:\WINDOWS\Explorer.EXE (1532) 
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1680) 
Stoppé! C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (1800) 
Stoppé! C:\WINDOWS\system32\hkcmd.exe (1868) 
Stoppé! C:\WINDOWS\system32\igfxpers.exe (1888) 
Stoppé! C:\WINDOWS\system32\igfxsrvc.exe (1904) 
Stoppé! C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe (120) 
Stoppé! C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe (220) 
Stoppé! C:\WINDOWS\system32\ctfmon.exe (564) 
Stoppé! C:\Program Files\Windows Live\Messenger\msnmsgr.exe (584) 
Stoppé! c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (636) 
Stoppé! C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe (1056) 
Stoppé! C:\Program Files\Skype\Phone\Skype.exe (1256) 
Stoppé! C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe (1416) 
Stoppé! C:\Program Files\Norton AntiVirus\Engine\18.6.0.29\ccSvcHst.exe (2244) 
Stoppé! C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (2592) 

################## | Éléments infectieux | 

Supprimé! C:\Recycler\S-1-5-21-2279721259-799754669-3896325352-1009 
Supprimé! C:\Recycler\S-1-5-21-2279721259-799754669-3896325352-500 
Supprimé! C:\Recycler\S-1-5-21-3045968340-1070597457-3282857864-500 
Supprimé! D:\Recycler\S-1-5-21-2279721259-799754669-3896325352-1009 
Supprimé! D:\Recycler\S-1-5-21-2279721259-799754669-3896325352-500 
Supprimé! G:\Recycler\S-1-5-21-2279721259-799754669-3896325352-1009 

(!) Fichiers temporaires supprimés. 

################## | Registre | 


################## | Mountpoints2 | 

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{65a2f1be-a3ae-11df-8282-001f29dbb342} 
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{693ae640-52cb-11de-80c1-001f29dbb342} 
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{78355f58-b1d9-11df-8296-001f29dbb342} 
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{da00c0e1-d4d1-11dd-8007-001f29dbb342} 

################## | Listing | 

[18/08/2008 - 06:11:42 | N | 212]  C:\boot.ini 
[02/03/2006 - 04:00:00 | N | 4952]  C:\Bootfont.bin 
[18/10/2011 - 13:53:39 | D ]  C:\Config.Msi 
[08/03/2011 - 12:47:34 | D ]  C:\Documents and Settings 
[24/08/2010 - 16:57:06 | D ]  C:\Downloads 
[18/08/2008 - 15:06:28 | D ]  C:\hp 
[24/10/2011 - 14:51:54 | N | 281444]  C:\hpfr5550.log 
[10/03/2009 - 20:39:22 | N | 0]  C:\IO.SYS 
[10/03/2009 - 20:39:22 | N | 0]  C:\MSDOS.SYS 
[18/08/2008 - 15:06:34 | RHD ]  C:\MSOCache 
[26/01/2009 - 17:02:02 | D ]  C:\MyWorks 
[02/03/2006 - 04:00:00 | N | 47564]  C:\ntdetect.com 
[18/08/2008 - 17:29:42 | N | 252240]  C:\ntldr 
[28/10/2011 - 10:54:49 | ASH | 536870912]  C:\pagefile.sys 
[14/08/2011 - 18:14:28 | D ]  C:\Program Files 
[15/11/2010 - 19:06:35 | D ]  C:\PUZMAT 
[28/10/2011 - 19:57:45 | SHD ]  C:\RECYCLER 
[28/10/2011 - 10:55:38 | SHD ]  C:\System Volume Information 
[18/08/2008 - 06:12:15 | D ]  C:\system.sav 
[28/10/2011 - 19:57:45 | D ]  C:\UsbFix 
[28/10/2011 - 19:57:45 | A | 4198]  C:\UsbFix.txt 
[12/10/2011 - 15:36:29 | D ]  C:\WINDOWS 
[07/08/2009 - 14:30:58 | D ]  D:\014482751ed77b3dc82a 
[28/06/2011 - 19:43:21 | D ]  D:\5f4262f25668d63c89c357a95605efbe 
[27/09/2011 - 16:27:16 | D ]  D:\Documents 
[28/10/2011 - 19:57:45 | SHD ]  D:\RECYCLER 
[28/10/2011 - 10:55:38 | SHD ]  D:\System Volume Information 
[04/02/2011 - 15:53:43 | D ]  G:\Catherine au 29 08 11 
[28/10/2011 - 19:57:45 | SHD ]  G:\RECYCLER 
[30/09/2010 - 16:12:08 | D ]  G:\Sauvegarde C 30 08 10 
[30/08/2010 - 21:44:28 | D ]  G:\Seagate 
[28/10/2011 - 19:50:17 | SHD ]  G:\System Volume Information 

################## | Vaccin | 

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido) 
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido) 
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido) 

################## | Upload | 

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DX2400.zip 
http://eldesaparecido.com/support.php 
Merci de votre contribution. 

################## | E.O.F |
0
Réponse 8 / 12
Utilisateur anonyme
 
ok salut refais un scan OTL stp
0
Réponse 9 / 12
Ben
 
Salut...

Voilà les logs du scan OTL...

Le fichier OTL.txt :
http://dl.free.fr/jGzvWGoKw

Le fichier Extras.txt :
http://dl.free.fr/qgfKtZYI5

Le PC est toujours aussi lent...il doit donc surement y avoir des processus qui tournent pour rien et bouffent la RAM...

J'attends ton retour...
0
Réponse 10 / 12
Utilisateur anonyme
 
desinstalle adobe reader 9

=========

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\C480595B15.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
0080471219066906mcinstcleanup

:OTL
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: "https://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..keyword.URL: "https://search.sweetim.com/search.asp?src=2&q="
[2009/04/08 18:28:44 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Catherine\Application Data\Mozilla\Firefox\Profiles\9qffb4pz.default\searchplugins\sweetim.xml
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"NeroFilterCheck"=-
"QuickTime Task"=-

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
0
Réponse 11 / 12
Ben
 
Salut,

Merci pour ta réponse. Je viens d'effectuer les manipulations demandées.

Voici le lien vers le scan de VirusTotal :
http://www.virustotal.com/file-scan/report.html?id=9d7d948ef1329cc1db5fb77cbe9ed7bbf7d74cd8be1ad214689ebbe52a2267cb-1321102091

Et voilà le rapport OTL : 
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== SERVICES/DRIVERS ==========
Service 0080471219066906mcinstcleanup stopped successfully!
Service 0080471219066906mcinstcleanup deleted successfully!
========== OTL ==========
Prefs.js: "SweetIM Search" removed from browser.search.defaultenginename
Prefs.js: "http://search.sweetim.com/search.asp?src=2&q=" removed from browser.search.defaulturl
Prefs.js: "http://search.sweetim.com/search.asp?src=2&q=" removed from keyword.URL
C:\Documents and Settings\Catherine\Application Data\Mozilla\Firefox\Profiles\9qffb4pz.default\searchplugins\sweetim.xml moved successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NeroFilterCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 500567 bytes
 
User: All Users
 
User: Catherine
->Temp folder emptied: 202639936 bytes
->Temporary Internet Files folder emptied: 51605351 bytes
->Java cache emptied: 3075464 bytes
->FireFox cache emptied: 534103382 bytes
->Flash cache emptied: 93353 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 84 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 113377 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16846818 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 142320854 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 15128064 bytes
 
Total Files Cleaned = 922,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 11122011_140220

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_77c.dat not found!

Registry entries deleted on Reboot...


Il y a d'autres manips à effectuer..?
0
Réponse 12 / 12
Utilisateur anonyme
 
re


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
0