Accès bureau bloqué, virus ?

ERYIGIT -  
 g3n-h@ckm@n -
Bonjour,

Mon pc ne fonctionne plus sans explications. Il s allume normalement mais je n'ai pas accès au icone du menu démarrage, ni au bureau. Peut-il y avoir un virus ? je me suis connecté en mode sans echec pour poser ma qst.

J utilise VISTA avec Internet explorer (+avast)

Je suis utilisatrice sans connaissance profonde en informatique.

Merci pour votre réponse.

17 réponses

  1. g3n-h@ckm@n
     
    salut

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    ou cette version renommée winlogon.exe :

    http://forums-fec.be/gen-hackman/winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    2
  2. ERYIGIT
     
    http://pjjoint.malekal.com/files.php?id=20120604_j15o9z14w136
    0
  3. g3n-h@ckm@n
     
    desinstalle spybot il sert à rien
    desinstalle babylon
    desinstalle adobe reader 9
    desinstalle tout Java

    ==========

    Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [-HKU\S-1-5-21-1228387082-1587413325-2831801477-1003\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HP Software Update"=-
    "TkBellExe"=-
    "QuickTime Task"=-
    [HKU\S-1-5-21-1228387082-1587413325-2831801477-1003\Software\Microsoft\Windows\CurrentVersion\Run]
    "Facebook Update"=-
    [HKU\S-1-5-21-1228387082-1587413325-2831801477-1003\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{EDFCB7CB-942C-4822-AF14-F0B687409848}] :
    [-HKLM\Software\ASKInstaller]
    [-HKLM\Software\BrowserChoice]

    File::
    C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
    C:\Users\HATICE\Downloads\vlc-1.0.5-win32.exe

    Folder::
    C:\ProgramData\kH31000KjJkD31000
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    C:\ProgramData\Spybot - Search & Destroy
    C:\Program Files\Spybot - Search & Destroy

    MBR::

    clean::

    Reboot::

    ___________________________________________________

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
    1. ERYIGIT
       
      bonjour,

      j'ai désinstallé spybot
      babylon je ne le trouve pas
      la desinstallation de JAVA et ADOBE n'est pas possible (je suis en mode sans echec) : impossible d'acceder au service WINDOWS INSTALLER
      0
    2. ERYIGIT
       
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.604 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      HATICE : Windows Vista (TM) Home Premium (32 bits)

      Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

      Script : 09:13:02

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      Modification du registre effectuée

      ¤

      Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
      Supprimé : C:\Users\HATICE\Downloads\vlc-1.0.5-win32.exe

      ¤

      Supprimé : C:\ProgramData\kH31000KjJkD31000
      Absent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
      Supprimé : C:\ProgramData\Spybot - Search & Destroy
      Supprimé : C:\Program Files\Spybot - Search & Destroy

      ¤

      ¤¤¤¤¤¤¤¤¤¤ | MBR

      Windows Version: Windows Vista Home Premium Edition
      Windows Information: Service Pack 2 (build 6002), 32-bit
      Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
      BIOS Manufacturer: Phoenix Technologies Ltd.
      System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
      System Product Name: R520/R522/R620
      Logical Drives Mask: 0x0000001c

      Analysis of file "C:\Pre_Scan\MBR.bin":
      Unknown MBR code

      ¤


      ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

      Nettoyage du disque effectué

      ¤


      explorer.exe -> Processus redémarré

      Fin : 09:15:55

      ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
      0
  4. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. ERYIGIT
       
      Malwarebytes Anti-Malware 1.61.0.1400
      www.malwarebytes.org

      Version de la base de données: v2012.06.05.03

      Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
      Internet Explorer 9.0.8112.16421
      HATICE :: PC-DE-HATICE [administrateur]

      05/06/2012 13:21:01
      mbam-log-2012-06-05 (13-21-01).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 334351
      Temps écoulé: 49 minute(s), 28 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    il abuse Malwarebytes....

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.
    0
    1. ERYIGIT
       
      mon ordinateur a redemarré en mode normale, le rapport s'est bien affiché mais je n avais pas acces pour le poster sur le forum ou l'enregistrer. Je suis maintenant en mode sans echec mais je n ai plus le rapport. Que faire ? Merci pour votre aide.
      0
  7. g3n-h@ckm@n
     
    le rapport :

    c:\adwcleaner[Sx].txt
    0
    1. ERYIGIT
       
      # AdwCleaner v1.608 - Rapport créé le 05/06/2012 à 14:40:55
      # Mis à jour le 27/05/2012 par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
      # Nom d'utilisateur : HATICE - PC-DE-HATICE
      # Exécuté depuis : C:\Users\HATICE\Downloads\adwcleaner.exe
      # Option [Recherche]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****


      ***** [Registre] *****


      ***** [Registre - GUID] *****


      ***** [Navigateurs] *****

      -\\ Internet Explorer v9.0.8112.16421

      [OK] Le registre ne contient aucune entrée illégitime.

      -\\ Google Chrome v19.0.1084.52

      Fichier : C:\Users\HATICE\AppData\Local\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S1].txt - [1445 octets] - [05/06/2012 14:23:16]
      AdwCleaner[S2].txt - [972 octets] - [05/06/2012 14:32:59]
      AdwCleaner[R1].txt - [902 octets] - [05/06/2012 14:40:55]

      ########## EOF - C:\AdwCleaner[R1].txt - [1029 octets] ##########
      0
  8. g3n-h@ckm@n
     
    precise ca stp ?

    je n avais pas acces pour le poster sur le forum ou l'enregistrer.
    0
    1. ERYIGIT
       
      le rapport de ADWCLEANER s'est ouvert en page bloc note apres le redemarrage (en mode normale) du pc. des que je clique sur le menu demarrer ou une icone du bureau le sablier tourne, l'acces a toutes les icones bloque le pc.
      le copier coller dans mon precedent mail a été fait en mode sans echec.
      0
  9. g3n-h@ckm@n
     
    ok


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
    1. ERYIGIT
       
      J'ai des doutes par rapport a certaines manipulations :

      ...Télécharge le désinstalleur d'AVG... JE NE SAIS PAS CE QUE SIGNIFIE AVG
      ...Les logiciels d'émulation de CD comme Daemon Tools...
      ...la protection en temps réel de ton Antivirus et de tes Antispywares... FAUT IL DESACTIVER MON ANTIVIRUS AVAST A CE STADE ET CONCERNANT ANTISPYWARES JE NE SAIS PAS COMMENT FAIRE.
      0
    2. ERYIGIT
       
      ComboFix 12-06-05.03 - HATICE 05/06/2012 23:10:06.1.2 - x86 NETWORK
      Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3066.2491 [GMT 2:00]
      Lancé depuis: c:\users\HATICE\Downloads\akif.exe
      AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
      SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
      SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Un nouveau point de restauration a été créé
      .
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2012-05-05 au 2012-06-05 ))))))))))))))))))))))))))))))))))))
      .
      .
      2012-06-04 18:16 . 2012-06-05 07:15 -------- d-----w- C:\Pre_Scan
      2012-06-01 11:36 . 2012-05-08 16:40 6737808 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{D17C3AE5-4A69-48F1-BF58-CE79B6C2376F}\mpengine.dll
      2012-05-11 09:18 . 2012-03-20 23:28 53120 ----a-w- c:\windows\system32\drivers\partmgr.sys
      2012-05-11 09:16 . 2012-03-30 12:39 905600 ----a-w- c:\windows\system32\drivers\tcpip.sys
      2012-05-11 09:16 . 2012-03-01 14:46 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
      2012-05-11 09:16 . 2012-02-29 13:41 1069056 ----a-w- c:\windows\system32\DWrite.dll
      2012-05-11 09:16 . 2012-02-29 14:08 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
      2012-05-11 09:16 . 2012-03-01 14:46 160768 ----a-w- c:\windows\system32\d3d10_1.dll
      2012-05-11 09:16 . 2012-02-29 13:44 683008 ----a-w- c:\windows\system32\d2d1.dll
      2012-05-11 09:16 . 2012-02-01 15:11 1218048 ----a-w- c:\program files\Windows Journal\NBDoc.DLL
      2012-05-11 09:16 . 2012-02-01 15:10 1404928 ----a-w- c:\program files\Common Files\Microsoft Shared\ink\InkObj.dll
      2012-05-11 09:16 . 2012-02-01 15:10 983040 ----a-w- c:\program files\Windows Journal\JNTFiltr.dll
      2012-05-11 09:16 . 2012-02-01 15:10 964608 ----a-w- c:\program files\Windows Journal\JNWDRV.dll
      2012-05-11 09:16 . 2012-02-01 15:10 936960 ----a-w- c:\program files\Common Files\Microsoft Shared\ink\journal.dll
      2012-05-11 09:16 . 2012-02-01 13:58 47104 ----a-w- c:\program files\Windows Journal\PDIALOG.exe
      2012-05-10 18:49 . 2012-04-03 08:16 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
      2012-05-10 18:49 . 2012-04-03 08:16 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
      2012-05-10 18:49 . 2012-04-02 13:36 2044928 ----a-w- c:\windows\system32\win32k.sys
      .
      .
      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2012-06-05 11:20 . 2010-02-07 15:40 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2012-04-04 13:56 . 2010-02-07 15:40 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
      .
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
      @="{472083B0-C522-11CF-8763-00608CC02F24}"
      [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
      2011-05-10 12:10 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-10 39408]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-12 61440]
      "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-13 6814240]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1049896]
      "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
      "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
      "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
      "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
      "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "Malwarebytes Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
      .
      c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
      HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 0 (0x0)
      "EnableLUA"= 0 (0x0)
      "PromptOnSecureDesktop"= 0 (0x0)
      "EnableUIADesktopToggle"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
      @="FSFilter System Recovery"
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      bthsvcs REG_MULTI_SZ BthServ
      yksvcs REG_MULTI_SZ yksvc
      LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
      HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
      hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
      .
      Contenu du dossier 'Tâches planifiées'
      .
      2012-06-01 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1228387082-1587413325-2831801477-1003Core.job
      - c:\users\HATICE\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-19 22:09]
      .
      2012-06-04 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1228387082-1587413325-2831801477-1003UA.job
      - c:\users\HATICE\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-19 22:09]
      .
      2012-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 14:31]
      .
      2012-06-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 14:31]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.com/
      uInternet Settings,ProxyOverride = *.local
      uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
      TCP: DhcpNameServer = 192.168.1.254
      .
      - - - - ORPHELINS SUPPRIMES - - - -
      .
      SafeBoot-dmboot.sys
      SafeBoot-dmio.sys
      SafeBoot-dmload.sys
      SafeBoot-dmadmin
      SafeBoot-dmserver
      SafeBoot-mcmscsvc
      SafeBoot-MCODS
      SafeBoot-SRService
      .
      .
      .
      **************************************************************************
      .
      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2012-06-05 23:15
      Windows 6.0.6002 Service Pack 2 NTFS
      .
      Recherche de processus cachés ...
      .
      Recherche d'éléments en démarrage automatique cachés ...
      .
      Recherche de fichiers cachés ...
      .
      Scan terminé avec succès
      Fichiers cachés: 0
      .
      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      "MSCurrentCountry"=dword:000000b5
      .
      Heure de fin: 2012-06-05 23:18:43
      ComboFix-quarantined-files.txt 2012-06-05 21:18
      .
      Avant-CF: 37 702 217 728 octets libres
      Après-CF: 37 678 051 328 octets libres
      .
      - - End Of File - - 4EE5E3502EF0745A7EF15B3B28362BB8
      0
  10. g3n-h@ckm@n
     
    c'est quoi qu il a detecté ?
    0
    1. ERYIGIT
       
      Je suis désolé, je viens de me connecté en mode sans echec pour pouvoir ecrire car en mode sans echec renforcée je n'ai pas accès à l'internet. Mon précécent message a été envoyé par telephone mais pas réussi a continuer par ecran du telephone trop petit.
      Dr web a détecté virus. les intitulé étaient composés de chiffres et lettre dans Document and setting/appData/... mais le programme avait généré lignes ( supplémentaires). Comment vous faire part du résultat ? Peut-etre relancé a nouveau le scan? mais au final je n'arrive pas a cliquer sur les cellules DESINFECTE/QUARANTINE/SUPPRIMER...
      0
  11. g3n-h@ckm@n
     
    t'as bien attendu la fin du scan complet ?
    0
  12. ERYIGIT
     
    oui la barre était a 100%. comme indiqué précédemment je n'avais pas accès pour la fin. merci pour votre aide.
    0
  13. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    %Userprofile%\* /s
    %AllUsersProfile%\* /s
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
    0
    1. ERYIGIT
       
      ci-dessous les liens :
      http://pjjoint.malekal.com/files.php?id=20120606_7y6v12o10i15

      le fichier OTL ne se telecharge pas. J'ai essayé les 2 options proposés par le site. Y-a-t-il un autre moyen de vous le faire parvenir ?
      0
    2. g3n-h@ckm@n
       
      clic droit => envoyer vers => dossiers compressés , puis envoie l'archive
      0
    3. ERYIGIT
       
      ouff vous etes de retour :-)

      http://pjjoint.malekal.com/files.php?id=20120606_y10x8g6u11y8
      0
  14. g3n-h@ckm@n
     
    commetn ca se fait qu 'il fait 8 Mo ton rapport ?
    0
    1. ERYIGIT
       
      je ne sais pas, effectivement j'ai vu la taille du fichier OTL lorsque j'ai comparé les 2. J'ai lancé le programme comme indiqué dans le mode opératoire.
      0
  15. g3n-h@ckm@n
     
    tu es sur que tu as fait exactement comme indiqué ?
    0
    1. ERYIGIT
       
      dois-je le refaire ? d'après mes souvenirs oui.
      0
  16. g3n-h@ckm@n
     
    non c'est moi qui delire je t'ai fait mettre un switch qui prend beaucoup de place

    t'as encore des soucis sinon ?
    0
    1. ERYIGIT
       
      ok et pendant ce temps j'avais relancé l'analyse (avec les memes options) les tailles des fichiers sont identiques :s
      mon pc est en mode sans echec. je vais le redemarrer de suite.
      0
    2. ERYIGIT
       
      :-( malheureusement le souci n'est pas résolu :
      pc ne fonctionne pas en mode normal
      acces aux icones du bureau refusé
      le curseur bloque et tourne a l'infini
      0