conficker ??? impossible de s'en défaire Fermé

Question

Bonjour, 

j'ai récupéré le pc portable de mon frere qui je suppose possède un virus...
Apres recherche et déduction, pour moi il me semble qu'il s'agit de ce fameux ver conficker (pas de mise à jour possible avec microsoft update et sa mise à jour de son anti virus bitdefender...) 
j'ai recherché les moyens pour s'en débarrasser et après plusieurs analyse avec différents programmes puis le petit logiciel censé retirer win32.worm.downadup.gen de bitedefender removal tool... et bien ce dernier ne m'a rien trouvé...

Donc je viens vers vous en criant au secours car je ne sais plus quoi faire 

Pouvez vous m'aider

windows xp / service pack 3 / internet explorer 8.0

¡El Desaparecido! · Accepted Answer

Hello,


# Télécharge ZHPDiag Par Nicolas Coolman

# Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag" 

# Clique sur l''icône représentant une loupe (« Lancer le diagnostic ») 

# Une fois le scan aux 100%, clic sur la disquette pour enregister le rapport sur ton bureau. 

# Héberge le rapport ZHPDiag.txt présent sur ton bureau.

# Héberge le sur un des sites suivants : 

http://pjjoint.malekal.com/ 
http://www.cijoint.fr/ 


# Tu obtiendras 1 lien que tu me donneras en réponse dans ton prochain message.

tyler93 · Answer

formate le disque dur c'est le moyen le plus facile

phanou · Answer

voici mon rapport...
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111230_k14m11z8e6p12

¡El Desaparecido! · Answer

Re,

Désolé pour le temps de réponse.

Il y a plusieures infection présentes .

Nous attaquons : 


# Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 

# Lance le, clique sur [Suppression] puis patiente le temps du scan. 
# Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

# Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

phanou · Answer

voici le resultat demandé...

# AdwCleaner v1.403 - Rapport créé le 30/12/2011 à 15:13:46
# Mis à jour le 24/12/11 à 14h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Caro - PC290951034918 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Caro\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKCU\Software\SweetIm
Clé Présente : HKLM\SOFTWARE\SweetIM
Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A7213D71-47E1-4832-92D7-D61DFE9F231F}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{CF82F350-E1C4-4916-AC12-BA73DB60AFB7}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1480 octets] - [30/12/2011 15:13:46]

########## EOF - C:\AdwCleaner[R1].txt - [1608 octets] ##########

¡El Desaparecido! · Answer

Re,

Rééxécute AdwCleaner, choisi l'option suppression cette fois-ci et post le rapport stp.

phanou · Answer

désolé je t'ai envoyé le mauvais rapport...
voici celui de la supression

# AdwCleaner v1.403 - Rapport créé le 30/12/2011 à 15:45:33
# Mis à jour le 24/12/11 à 14h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Caro - PC290951034918 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Caro\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1609 octets] - [30/12/2011 15:13:46]
AdwCleaner[R2].txt - [1669 octets] - [30/12/2011 15:14:56]
AdwCleaner[S1].txt - [1837 octets] - [30/12/2011 15:15:17]
AdwCleaner[S2].txt - [773 octets] - [30/12/2011 15:45:33]

*************************

Dossier Temporaire : 1 dossier(s)et 3 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [991 octets] ##########

phanou · Answer

voici le premier rapport de suppression que j'ai fait tout à l'heure, il est différent et je ne sais pas s'il est important pour toi...

# AdwCleaner v1.403 - Rapport créé le 30/12/2011 à 15:15:17
# Mis à jour le 24/12/11 à 14h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Caro - PC290951034918 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Caro\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A7213D71-47E1-4832-92D7-D61DFE9F231F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{CF82F350-E1C4-4916-AC12-BA73DB60AFB7}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1609 octets] - [30/12/2011 15:13:46]
AdwCleaner[R2].txt - [1669 octets] - [30/12/2011 15:14:56]
AdwCleaner[S1].txt - [1612 octets] - [30/12/2011 15:15:17]

*************************

Dossier Temporaire : 144 dossier(s)et 4743 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [1836 octets] ##########

¡El Desaparecido! · Answer

Re,


Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
 
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
 
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

 
# Lance ComboFix 
# Accepte la licence d'utilisation et laisse toi guider par le programme. 
# Accepte d'installer la console de récupération si tu es sous XP 
# Autorise ComboFix a se connecter à internet pour les mises à jour si besoin. 
# Il est possible que l'outil est besoin de redémarre l'ordinateur. 

!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !! 
(risque de plantage complet de l'ordinateur) 

# A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
# Héberge le rapport et donne moi le lien. 

 
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

¡El Desaparecido! · Answer

Hello,

C'est embetant pour combofix.

Fais ceci :

Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique drweb-cureit.exe et ensuite clique sur Analyse;

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui< /gras> pour tout à l'invite <gras> Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis <gras> Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

@+

phanou · Answer

bonjour, apres tentative avec Dr Web Cureit et bien pas grand chose, à peine il commence le scan que j'ai toujours un belle écran tout bleu..."Problème détecté...BAD_POOL_CALLER..."
Sachant que je ne suis pas connecté via mon ethernet... Je n'ai pas non plus désinstallé Combofix, y a-t-il conflit entre les deux?...
Bref je te laisse le soin de me donner le programme à suivre... pour info le rapport d'erreur de windows : c:\docume...\Temp\WER55ab.dir00\Mini010112-02.dmp, puis une seconde ligne... c:\docume...\Temp\WER55ab.dir00\sysdata.xml... voila je ne sais pas si ça fait avancé les choses...
Question : ne dois je pas faire un reset total pour gagner du temps, bien que j'aimerai vraiment savoir si ça vient oui ou non d'un virus ou d'un problème de pc uniquement... qu'en penses tu ?

¡El Desaparecido! · Answer

Hello phanou,

Décidemment :(


Question : ne dois je pas faire un reset total pour gagner du temps, bien que j'aimerai vraiment savoir si ça vient oui ou non d'un virus ou d'un problème de pc uniquement... qu'en penses tu ?
 
C'est sur que formater et réinstaller est une solution mais je ne pense pas qu'il faut en arriver là ;)

On va reprendre les choses en mains.

Refais un scan ZHPDiag et fais moi parvenir le nouveau rapport stp.

¡El Desaparecido! · Answer

Ok,

On va verifier la présence de Conficker : 


# Télécharge UsbFix sur ton Bureau.

# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double clique sur UsbFix.exe.  

# Clique sur Suppression.
# Laisse travailler l'outil. 

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Tutoriel en images
# Tutoriel vidéo


###########


Télécharge Navilog1 sur ton bureau. 

 
Double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
 
Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

¡El Desaparecido! · Answer

Impec :)

Pas de traces de Conficker sur le rapport UsbFix ;)


Télécharge Reload_TDSSKiller 

? Lance le 

choisis : lancer le nettoyage 

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan" 

SA cette fenêtre lance le scan. 



-Récupérer le rapport en validant Report 
Poste-le moi 

Si des fichiers infects sont trouvés, une nouvelle fenêtre s'ouvre: 

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut. 

Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée. 

Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée. 

Si Suspicious file est indiqué, laisse l'option cochée sur "Skip" 

Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut , et "delete" en bas. 

Clique sur "Continue" puis sur "Reboot now" pour redémarrer le PC. 

exemple: https://support.kaspersky.com/5350


redémarres le pc pour confirmer la suppression de celle-ci.

¡El Desaparecido! · Answer

Ok,

Désinstal :

Adobe reader car non à jours.

Les versions de java suivantes :

J2SE Runtime Environment 5.0 Update 6 
Java(TM) 6 Update 11 

###

Instal le dernier java : https://www.java.com/fr/download/
Adobe reader : https://get2.adobe.com/fr/reader/otherversions/

###


Télécharge MBAM et installe le selon l'emplacement par défaut. 
(l'essai de la version pro est facultative) 

? Effectue la mise à jour et lance Malwarebytes' Anti-Malware 
? Clique dans l'onglet du haut "Recherche" 
? Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
? Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen" 

A la fin de l'analyse, si MBAM n'a rien trouvé : 

? Clique sur OK, le rapport s'ouvre spontanément 

Si des menaces ont été détectées : 

? Clique sur OK puis "Afficher les résultats" 
? Choisis l'option "Supprimer la sélection" 
? Si MBAM demande le redémarrage de Windows : Clique sur "Oui" 
? Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" 
? Sinon le rapport s'ouvre automatiquement après la suppression.

¡El Desaparecido! · Answer

Hello,

Plutot etrange en effet :(

Peux tu essayer malwarebyte en mode sans echec stp ?

¡El Desaparecido! · Answer

Hello,

Etrange tout cela :( 

Essai Combofix en mode sans echec également .. 

Essai de ma faire parvenir le contenu du dossier \Temp\WER55ab.dir00

¡El Desaparecido! · Answer

Non laisse tombe ;)

On va faire autrement : 

Télécharge Catchme sur ton bureau
Double clic sur catchme.exe
une fentre noire va s'ouvrir, patientele temps du scan.
Post le rapport catchme.log qui sera sur ton bureau.

###

Télécharge [ http://www.gmer.net/ GMer] sur ton bureau (Clic sur download EXE )
Ouvre Gmer
Clic sur scan
patiente le temps du scan
clic sur save pour sauvegarder le rapport
fais moi parvenir le rapport stp

¡El Desaparecido! · Answer

Impeccable.

Combofix a virer l'infection , ce n'etait pas conficker.

Tu vas pouvoir effectuer un scan avec MBAM en mode normal.

Met à jours MBAM avant et choisi le scan rapide.

phanou · Answer

voici le rapport de Catchme...
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-03 20:56:14
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************
********************************************
et le rapport de MBAM
********************************************
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.03.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Caro :: PC290951034918 [administrateur]

03/01/2012 21:22:29
mbam-log-2012-01-03 (21-22-29).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 247568
Temps écoulé: 49 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

********************************
Que dois je faire maintenant...

phanou · Answer

toc toc... j'ai tout de meme essayer de faire le scan avec GMER et ben hop encore une petite page toute bleue sur mon pc..., il s'est redémarrer de lui meme en étant tres lent... je crois que ce n'est pas fini...

¡El Desaparecido! · Answer

Bonjour phanou,

Il me faudrait un nouveau rapport ZHPDiag stp.

PS: je serai dispo que ce soir.

¡El Desaparecido! · Answer

Hello Phanou,

Il y a deux antivirus ... 

Désinstal soit la solution Microsoft, soit Bitdefender ;) Il y a conflit !

Désinstal aussi SpyBot s&D car inutil 

Redémarre le pc et fais moi parvenir un nouveau rapport ZHPDiag stp

¡El Desaparecido! · Answer

Aie aie aie,

On va faire le ménage dans les outils : 

# Télécharge DelFix par Xplode.
# Exécute delfix.exe 
# Clique sur Suppression.
# Patiente pendant le scan jusqu'à l'ouverture du rapport.
 
# Poste le contenu du rapport dans ta prochaine réponse sur le forum.
# Note : Le rapport se trouve sous C:\DelFix[S1].txt

( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 


On va faire un scan en ligne : 

http://www.eset.com/fr/home/products/online-scanner/El Desaparecido

Fais moi parvenir le rapport une fois terminé stp.

Il te reste des traces de spybot on les supprimera par la suite.

¡El Desaparecido! · Answer

Hello ,

C'est la galère en fait :( 

Tu as la possibilitée de faire une restauration à une date antérieure aux faits ?

yofa · Answer

https://www.commentcamarche.net/faq/16710-comment-supprimer-le-virus-conficker-downadup-kido#q=conficker&cur=1&url=%2F

¡El Desaparecido! · Answer

Yep,

ZHPDiag est passé ? 

Voici un tuto pour la restauration systeme sous XP : 

http://www.forum.keroinsite.com/tuto-info/tutoriel-utiliser-restauration-systeme-windows-t62.html

¡El Desaparecido! · Answer

Ok, 

Fais ceci : 


# Télécharge OTM de OldTimer sur ton bureau. 
  
# Double-clique sur OTM.exe pour le lancer. 
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur  
# Copiez la liste ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 
  

 
:files  
C:\Documents and Settings\Caro\Application Data\BottleBuster  
C:\Documents and Settings\Caro\Bureau\codecsetup.exe  
C:\Program Files\ControlCenter  
C:\Program Files\HPQ\Default Settings\Cpqset.exe  
C:\Program Files\HPQ 

:Reg 
[-HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0566a191-d675-4911-9c7e-50edbef90f32}] 
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0566a191-d675-4911-9c7e-50edbef90f32}] 
[-HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 
"Cpqset"=- 
  
:commands  
[emptytemp]  
 

# Clique sur "MoveIt!" . 
# Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demanderas de redémarrer l'ordinateur. 
# Si c'est le cas, accepte en cliquant sur "YES". 
# Post le rapport dans ta prochaine réponse. 
# Le rapport est situé dans C:\_OTM\MovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log). 


#### 

Redémarre le pc et dis moi si il y a du mieux :) 

El Desaparecido

phanou · Answer

voici le rapport ... sinon depuis le redémarrage on va dire qu'il y a aussi du mieux bon c'est pas un cheval de course mais mieux que ces derniers jours... la preuve là je ne suis plus en mode sans échec...

All processes killed
========== FILES ==========
C:\Documents and Settings\Caro\Application Data\BottleBuster folder moved successfully.
C:\Documents and Settings\Caro\Bureau\codecsetup.exe moved successfully.
C:\Program Files\ControlCenter\BackupData folder moved successfully.
C:\Program Files\ControlCenter folder moved successfully.
C:\Program Files\HPQ\Default Settings\Cpqset.exe moved successfully.
C:\Program Files\HPQ\shared folder moved successfully.
C:\Program Files\HPQ\SEDInst folder moved successfully.
C:\Program Files\HPQ\Quick Launch Buttons\Icons folder moved successfully.
C:\Program Files\HPQ\Quick Launch Buttons folder moved successfully.
C:\Program Files\HPQ\My Product Name folder moved successfully.
C:\Program Files\HPQ\MSCU\886903_NET11 folder moved successfully.
C:\Program Files\HPQ\MSCU folder moved successfully.
C:\Program Files\HPQ\HP Wireless Assistant\images folder moved successfully.
C:\Program Files\HPQ\HP Wireless Assistant folder moved successfully.
C:\Program Files\HPQ\HP Help and Support folder moved successfully.
C:\Program Files\HPQ\ESU folder moved successfully.
C:\Program Files\HPQ\Default Settings folder moved successfully.
C:\Program Files\HPQ folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0566a191-d675-4911-9c7e-50edbef90f32}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0566a191-d675-4911-9c7e-50edbef90f32}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0566a191-d675-4911-9c7e-50edbef90f32}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0566a191-d675-4911-9c7e-50edbef90f32}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Cpqset deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 83 bytes
 
User: All Users
 
User: Caro
->Temp folder emptied: 676634 bytes
->Temporary Internet Files folder emptied: 12415302 bytes
->Java cache emptied: 10402160 bytes
->Apple Safari cache emptied: 184644608 bytes
->Flash cache emptied: 1960172 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 83 bytes
 
User: Invité
->Temp folder emptied: 30495 bytes
->Temporary Internet Files folder emptied: 54357 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: MANON. HSM
->Temporary Internet Files folder emptied: 4835262 bytes
 
User: MANON.HSM
->Temp folder emptied: 471457852 bytes
->Temporary Internet Files folder emptied: 348824929 bytes
->Java cache emptied: 1282421 bytes
->Apple Safari cache emptied: 55252992 bytes
->Flash cache emptied: 165933 bytes
 
User: NetworkService
->Temp folder emptied: 21784 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: RV69
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1613457 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 11625450 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1894162 bytes
 
Total Files Cleaned = 1 056,00 mb
 
 
OTM by OldTimer - Version 3.1.19.0 log created on 01052012_195540

Files moved on Reboot...
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\A5KNK507\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=1536188884198121[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\8RYLSXAL\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=6308659572010823[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\8RYLSXAL\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=6587618194982940[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\8RYLSXAL\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=7577571810969876[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\8RYLSXAL\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=8701330563266254[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\4R4PY7O3\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=3504318964265322[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\4R4PY7O3\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=7620475431369156[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\4R4PY7O3\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=7638785522490319[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\41Q5E3M7\;bp=OK;var1=;var2=;var3=;var4=;var21=;var22=;var23=;var24=;var25=;var26=;var7=;var8=0;var9=0;var10=0;var11=;var14=;tile=1;sz=300x250;ord=4204860638074209[2].5 not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\41Q5E3M7\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=2106389665592048[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\41Q5E3M7\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=6038729019892047[2].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\41Q5E3M7\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=6261223851318516[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\41Q5E3M7\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=7172241964225179[1].htm not found!
File C:\Documents and Settings\MANON.HSM\Local Settings\Temp\Temporary Internet Files\Content.IE5\41Q5E3M7\;var1=;var2=2;var3=;var4=;var21=2;var22=2;var23=2;var24=2;var25=1;var26=91333;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=944941341018144[1].htm not found!

Registry entries deleted on Reboot...

¡El Desaparecido! · Answer

On va améliorer le reboot : 


# Double-clique sur OTM.exe pour le lancer.
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
# Copiez la liste ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
 



:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eabconfg.cpl"=-
"EPSON Stylus Photo RX600"=-
"LWS"=-
"ISUSPM Startup"=-
"Adobe ARM"=-
"[KernelFaultCheck"=-
"Logitech Vid"=-
"[Logitech Vid HD"=-
"ctfmon.exe"=-

:commands 
[emptytemp] 


# Clique sur "MoveIt!" .
# Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demanderas de redémarrer l'ordinateur.
# Si c'est le cas, accepte en cliquant sur "YES".
# Post le rapport dans ta prochaine réponse.
# Le rapport est situé dans C:\_OTM\MovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).

#####

désactive et réactive la restauration systeme : 

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020830101856924

Bitdefender démarre ?

phanou · Answer

All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eabconfg.cpl deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\EPSON Stylus Photo RX600 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LWS deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISUSPM Startup deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe ARM deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[KernelFaultCheck not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Logitech Vid not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[Logitech Vid HD not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Caro
->Temp folder emptied: 192786 bytes
->Temporary Internet Files folder emptied: 2012623 bytes
->Java cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 456 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: MANON. HSM
->Temporary Internet Files folder emptied: 0 bytes
 
User: MANON.HSM
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: RV69
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2,00 mb
 
 
OTM by OldTimer - Version 3.1.19.0 log created on 01052012_212730

Y'a encore du mieux on va dire sur l'ouverture et la connexion internet...

phanou · Answer

pour ce qui est de la restauration du système.... après avoir décocher il analyse et m'inscrit dans une fenêtre...
"La restauration du système a rencontré une erreur en tentant d'activer/désactiver un ou plusieurs lecteurs. Redémarrez votre ordinateur et essayer à  nouveau..."

ce que j'ai fait et il m'a inscrit de nouveau cette jolie phrase...
Bonne journée...

¡El Desaparecido! · Answer

Hello ,

Il veut rien savoir ton pc ^^ 

Comme dis pascal ( gen ) ça sent la surchauffe ^^ 

Arriver à ce stade , formater la bete serait bien ... tu as le cd windows ?

Sofia37 · Answer

BonsoiriEl Desaparecido,

Je vois que tu as utilisé navilog alors qu'il est obsolète ....... Pourquoi ?

Je te pose la question car je sais que tu n'es pas novice dans la désinfection et ç'a m'a juste étonnée

¡El Desaparecido! · Answer

Hello Sofia,


Je vois que tu as utilisé navilog alors qu'il est obsolète ....... Pourquoi ? 

Navilog ne fonctionne pas seulement avec un changelog .. il embarque d'autres méthode de detections pour l'infection qu'il traite. 

Ce qui fait qu'il n'est pas vraiment obsolète ;) 

Mais bon, il n'a pas vu ce que je voulai qu'il voit :(

Bon week end :):)

¡El Desaparecido! · Answer

Hello phanou,


Alors juste quelques questions, si je récupère tout ce qui est document .doc, xls, jpg etc... je ne risque pas au cas ou il y a un virus de l'emmener avec les différents documents ?

Non , dans ton cas ça ne risque rien . Tu n'as pas d'infection de type Sality, virut etc qui pourrai poser  soucis ;)

Donc ouais , il vaut mieux utiliser la restauration d'usine dans ton cas.

Donne moi des nouvelles ;)

phanou · Answer

Si une petite question, est ce que je peux sauvegarder également le Pack 3 de microsoft pour m'éviter une longue restauration par la suite ??? si oui comment...

phanou · Answer

hello, encore moi... bon petite nouvelle j'essaie de copier les dossiers qui sont important sur un DDExterne... le truc c'est que j'ai des problèmes de redondance cyclique... après des recherches sur le net pour savoir qu'est ce que cette bête là, on parle de clusters qui seraient endommagés...

Alors ma question, c'est est-ce que toi tu peux y faire qq chose avant le formatage ?...
Et comment faire plus vite pour copier mes infos sur mon disque dur externe car dès qu'il m'inscrit le message de redondance je suis obligé de rechercher dans les dossiers copiés savoir ce qu'il a copié ou non et recommencer la procédure, alors je veux bien perdre des données et en sauvegarder d'autres mais de là à passer une semaine à faire du méli mélo...waouh...

J'ai vu qu'il y a des logiciels pour tout ce qui est de copie de CD vers DDE (unstopcp) mais le contraire existe-t-il aussi ?...

¡El Desaparecido! · Answer

Re,

Il faudrait defragmenter ce fameux disque externe ;) 

Utilises deffragler pour cela : https://filehippo.com/download_defraggler/

phanou · Answer

Salut El Desaparacido...
bon il y avait bien longtemps que je n'avais pas donné de nouvelles. Le boulot.... alors depuis j'ai essayé de sauvegarder toutes les photos et lmes dossiers important qui étaient sur le PC, et ça n'a pas été très rapide à cause du problème de redondance cyclique... bref... 
J'ai donc essayé de réinstaller le système via Recovery et depuis rien ne va plus. D'après le message de mon pc il me dit que l'installation a réussi, un redémarrage était nécessaire ce que j'ai fait et là... il reste suir la page d'ouverture de windows qui me dit de patienter... le problème c'est que la patience au bout de 3 heures c'est de l'impatience...

N'ayant pas de CD d'installation de XP Home je ne sais pas maintenant comment faire pour réinstaller tout ça, j'ai réessayer de refaire la même manip de réinstallation via F11 au démarrage mais même ça ça ne fonctionne plus...

Alors comment dire AU SECOURS !!! Que puis je faire... sachant que j'ai une version windows XP Home avec les codes qui vont bien et que je n'ai rien pour réinstaller le système (pas de CD).

As tu une solution, ou crois tu que le gentil monsieur microsoft peux m'envoyer un petit cd pour réparer tout ça, sachant qu'il risque de me renvoyer sur le constructeur du pc (qui n'est plus garanti)

Je te remercie d'avance de la réponse positive ou négative que tu m'apporteras, ce que je veux juste savoir c'est est ce que j'ai une chance de pouvoir le remettre en fonction et si oui les modalités... 

Bonne journée et bon dimanche.

g3n-h@ckm@n · Answer

salut pour t'aider :

http://www.downflex.com/telecharger-microsoft-windows-xp-familial-service-pack-2/

clic sur "telechargement direct"

faudra juste que tu rentres ta clé sinon il sera bloqué au bout de 30 j

Conficker ??? impossible de s'en défaire

41 réponses

Discussions similaires

Newsletters