virus sacem police Fermé

Question

Bonjour, 



<config>Windows XP PRO / Internet Explorer 8.0<

Bonjour, j'ai attrapé le virus sacem police ... au bureau et mon pc doit absolument etre operationnel lundi...arf!! 
voici le lien pour le rapport:

http://dl.free.fr/getfile.pl?file=/ehlFsrLm

Merci beaucoup pour votre aide!

g3n-h@ckm@n · Accepted Answer

salut 

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 


&#9654Copie la liste qui se trouve en gras ci-dessous, 

&#9654 colle-la dans la zone sous "Personnalisation"(custom scan/fixes) : 

 
:OTL 
O4 - HKLM..\Run: [dlxVLNiTSbbfN8U] C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf) 
O4 - HKU\Administrateur_ON_C..\Run: [431622B8] C:\Documents and Settings\Administrateur\Application Data\Lsqmgxf\BF19737B431622B880FE.exe () 
O4 - HKU\Administrateur_ON_C..\Run: [dlxVLNiTSbbfN8U] C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEOegedit.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO	askmgr.exe: Debugger - P9KDMF.EXE File not found 
O33 - MountPoints2\{041132a0-fa70-11dd-81a3-001f29dc6f52}\Shell\AutoRun\command - "" = J:\yb12j.cmd 
O33 - MountPoints2\{041132a0-fa70-11dd-81a3-001f29dc6f52}\Shell\open\Command - "" = J:\yb12j.cmd 
O33 - MountPoints2\{3dddc604-626e-11de-8209-001f29dc6f52}\Shell\AutoRun\command - "" = F:\lcw.exe 
O33 - MountPoints2\{3dddc604-626e-11de-8209-001f29dc6f52}\Shell\open\Command - "" = F:\lcw.exe 
O33 - MountPoints2\{759c1eb4-ba31-11dd-8154-001f29dc6f52}\Shell - "" = AutoRun 
O33 - MountPoints2\{759c1eb4-ba31-11dd-8154-001f29dc6f52}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe 
O33 - MountPoints2\{920c838c-7d02-11de-8220-001f29dc6f52}\Shell\AutoRun\command - "" = mb9x.exe 
O33 - MountPoints2\{920c838c-7d02-11de-8220-001f29dc6f52}\Shell\open\Command - "" = mb9x.exe 
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf) 
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf) 
O20 - HKU\Administrateur_ON_C Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf) 
O20 - HKU\Administrateur_ON_C Winlogon: UserInit - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf) 


:Reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell"="explorer.exe" 
"userinit"="C:\Windows\System32\userinit.exe," 
 
&#9654 Clique sur "Correction"(RunFix) pour lancer la suppression. 


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

sosxav · Answer

Merci!!! je vais essayer

sosxav · Answer

voici le lien pour le rapport:
http://dl.free.fr/getfile.pl?file=/00lbW186

que dois je faire maintenant?

Merci

g3n-h@ckm@n · Answer

ton ordi redemarre-til normalement ?

sosxav · Answer

oui, il ne me manque plus que le bureau, dois utiliser Malwarebytes?

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

sosxav · Answer

le scan s'est fait, l'ordi a redemarré tout seul mais le bureau n'apparait toujours pas, j'utilise la version avec l'extension .pif?

g3n-h@ckm@n · Answer

non clic droit sur le bureau => affichage => afficher les elements du bureau

puis heberge le rapport comme indiqué

sosxav · Answer

aucun rapport n'est apparu, le pc a redemarré seul. puis je retrouver ce rapport pour vous le communiquer?

sosxav · Answer

je n'ai toujours pas de bureau, et 80 % des favoris internet explorer sont bloqués... je seche lamentablement!

sosxav · Answer

bon, un café apres... voila:

https://pjjoint.malekal.com/files.php?id=20120602_p7y8f11g10u15

j'ai toujours du mal en fin de semaine!!

Merci beaucoup pour ta patience et ton aide précieuse!

sosxav · Answer

en fait j'ai plein de fichiers locked... faut il faire une autre manip?

g3n-h@ckm@n · Answer

ok pour commencer chaque chose en son temps

clic droit sur ton bureau => affichage => afficher les icones du bureau ca donne quoi ?

sosxav · Answer

le bureau s'affiche correctement, mais tous mes fichiers sont bloqués

g3n-h@ckm@n · Answer

d'abord on desinfecte ensuite on voit pour tes fichiers

=====

installe internet explorer 8

=

desinstalle searchSettings
desinstalle adobe reader 9
desinstalle pdfforge Toolbar
desinstalle tout java
desinstalle application updater
desinstalle spybot il sert à rien et bouffe des ressources

=================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"SearchSettings"=-   
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dso32]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-     
[HKU\S-1-5-21-198104268-2889704140-774533561-500\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{lXTP0Cq8-0o3i-jGt0-DZTH-UrYlWXzEbjCE}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}]   
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}] 
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}]    
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[-HKU\S-1-5-21-198104268-2889704140-774533561-500\Software\pdfforge]     
[-HKU\S-1-5-21-198104268-2889704140-774533561-500\Software\Search Settings]     
[-HKLM\Software\Application Updater]     
[-HKLM\Software\BrowserChoice]     
[-HKLM\Software\pdfforge]     
[-HKLM\Software\Search Settings]     

txt::
c:\sauveusb.BAT 

File::
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
C:\WINDOWS\system32\D1CDA098431622B847D2.exe
C:\WINDOWS\system32\winsh320 
C:\WINDOWS\system32\winsh321
C:\WINDOWS\system32\winsh323 
C:\WINDOWS\system32\winsh324 
C:\WINDOWS\system32\winsh325 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat 

Folder::
C:\Program Files\Fichiers communs\Spigot
C:\Program Files\pdfforge Toolbar
C:\aa6fe4cf453997089d25be 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy     
C:\Documents and Settings\Administrateur\Application Data\Lsqmgxf 
C:\Documents and Settings\Administrateur\Application Data\pdfforge     
C:\Documents and Settings\Administrateur\Application Data\Search Settings     
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
C:\Program Files\Application Updater     
C:\Program Files\pdfforge Toolbar     
C:\Program Files\Spybot - Search & Destroy     

Driver::
Application Updater

Info::
C:\WINDOWS\system32\Drivers\acscn.sys 
C:\WINDOWS\eraser.exe 

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

sosxav · Answer

c'est lancé... je fais au plus vite... il me reste encore 15 bonnes minutes de manip..

sosxav · Answer

voila le nouveau rapport:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.601 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Administrateur : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 16:33:08

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Information(s) Fichier(s)


C:\WINDOWS\system32\Drivers\acscn.sys  : Non trouvé !!

¤

0xDAFB4BE55ACA725A5205674042AB172A - C:\WINDOWS\eraser.exe 

ProductName = 
Version = 0.0.0.0
CompanyName = 
LegalCopyright = 
LegalTrademarks = 
ProductVersion = 
FileDescription = 
PrivateBuild = 
FileVersion = 
OriginalFilename = 
SpecialBuild = 
DefaultLangCodepage = 
Size = 18.5 Ko
Date de création = 16/03/2012 11:04:21
Date de modification = 08/07/1998 18:30:36
Dernier accés = 02/06/2012 16:11:10


¤
¤¤¤¤¤¤¤¤¤¤ | Suppression Drivers | Services

Service : Application Updater  non actif



¤

Modification du registre effectuée

¤

Absent : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe 
Supprimé : C:\WINDOWS\system32\D1CDA098431622B847D2.exe
Supprimé : C:\WINDOWS\system32\winsh320
Supprimé : C:\WINDOWS\system32\winsh321
Supprimé : C:\WINDOWS\system32\winsh323
Supprimé : C:\WINDOWS\system32\winsh324
Supprimé : C:\WINDOWS\system32\winsh325
Absent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat 

¤

¤¤¤¤¤¤¤¤¤¤ | Edition de : c:\sauveusb.BAT 

Pause mettre clef USB
DEL f:\pilote.zip
del c:\pilote\disque\pilote.zip
c:
cd pilote\disque
pkzip pilote
c:
copy c:\pilote\disque\pilote.zip f:
Pause v'rifiez puis enlever clef USB

¤

Absent : C:\Program Files\Fichiers communs\Spigot 
Absent : C:\Program Files\pdfforge Toolbar 
non Supprimé : C:\aa6fe4cf453997089d25be 
Absent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy 
Supprimé : C:\Documents and Settings\Administrateur\Application Data\Lsqmgxf 
Absent : C:\Documents and Settings\Administrateur\Application Data\pdfforge 
Absent : C:\Documents and Settings\Administrateur\Application Data\Search Settings 
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 
Absent : C:\Program Files\Application Updater 
Absent : C:\Program Files\pdfforge Toolbar 
Supprimé : C:\Program Files\Spybot - Search & Destroy 

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000003fc

Analysis of file "C:\Pre_Scan\MBR.bin":
Hewlett-Packard MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 16:33:43

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

sosxav · Answer

qu'en penses tu?

g3n-h@ckm@n · Answer

regarde que ce fichier soit bien absent

C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat

sosxav · Answer

oui, je confirme il est absent

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

================


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

sosxav · Answer

j'ai effectué cette opé un peu plus tot dans l'apres midi, rapport adwcleaner:

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot

***** [H. Navipromo] *****

Fichier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat

***** [Registre] *****

Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Application Updater
Clé Supprimée : HKLM\SOFTWARE\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]

***** [Navigateurs] *****

-\ Internet Explorer v7.0.5730.13

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2545 octets] - [02/06/2012 15:41:20]

########## EOF - C:\AdwCleaner[S1].txt - [2673 octets] ##########

sosxav · Answer

j'ai l'impression que https://support.kaspersky.com/downloads/utils/rannohdecryptor.exe

est en train de tout me remettre en ordre.... je t'envoie le rapport quand c'est fini

g3n-h@ckm@n · Answer

ok à lire le rapport de malwarebytes

sosxav · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.02.04

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Administrateur :: SERVEUR [administrateur]

02/06/2012 18:19:50
mbam-log-2012-06-02 (19-22-06).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 290653
Temps écoulé: 55 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Pre_Scan\Quarantine\6.0.P_S\10\7cd9798a-5f7de8ea (Trojan.Inject) -> Aucune action effectuée.

(fin)

voila le dernier rapport, j'ai encore qq fichiers de bloqués... mais le principal est géré grace à ton aide!!!
depuis ce matin 9h30... je decroche et finirai lundi!
MErci pour tout!

g3n-h@ckm@n · Answer

j'ai encore qq fichiers de bloqués

précise ?

sosxav · Answer

Bonjour, 
c'etait des fichiers excel, j'ai trouvé une copie saine sur un autre ordi, je m'en suis servi avec rannohdecryptor pour les débloquer.
Je pense etre tiré d'affaire, encore une fois gràce à toi, 
Comment puis je te remercier?

g3n-h@ckm@n · Answer

c'est deja fait :)

fais le menage :

https://gen-hackman.kanak.fr/

sosxav · Answer

pas de ligne rouge, 
voici le rapport:

WhyIGotInfected v1.5.3(by Tigzy)
********************************

Run : 04/06/2012 10:19:32 [Normal Mode]
Machine : SERVEUR (2 CPUs) [Administrateur : ADMIN]
OS: Microsoft Windows XP Professionnel Service Pack 3 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows XP Professionnel] Current : Service Pack 3 -- Latest : Service Pack 3
UPTODATE [Internet Explorer] Current : 8.0.6001.18702 -- Latest : 8.0.6001.18702
UPTODATE [Adobe Flash] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash ActiveX] Current : 11.2.202.235 -- Latest : 11.2.202.235


Finished
<C:\Documents and Settings\Administrateur\Bureau\WIGIReport[0].txt>
WIGIReport[0].txt

g3n-h@ckm@n · Answer

ok ;)

sosxav · Answer

# DelFix v8.8 - Rapport créé le 04/06/2012 à 10:27:18
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Administrateur - SERVEUR (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Physical0MBR.bin
Supprimé : C:\Documents and Settings\Administrateur\Bureau\Pre_Scan[1].pif
Supprimé : C:\Documents and Settings\Administrateur\Bureau\WhyIGotInfected.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1061 octets] - [04/06/2012 10:27:18]

########## EOF - C:\DelFix[S1].txt - [1185 octets] ##########

g3n-h@ckm@n · Answer

t'avais supprimé les rapports au fur et à mesure ?

sosxav · Answer

oui, je crois ...
le nettoyage cccleaner vient juste de se terminer, je continue la procédure que tu m'as indiqué

g3n-h@ckm@n · Answer

ok :)

Virus sacem police

34 réponses

Discussions similaires