La procédure de désinfection de virus échouée

france2107 Messages postés 32 Statut Membre -  
 france2107 -
Bonjour,

je suis infecté par le virus Finloski, j'ai éxécuter ZHPDiag, voici le lien
https://www.cjoint.com/?BFsuKSYEEG4
puis Malware
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Utilisateur :: UTILISAT-3D59B2 [administrateur]

Protection: Activé

18/06/2012 19:46:46
mbam-log-2012-06-18 (19-46-46).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 194698
Temps écoulé: 10 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\Utilisateur\Application Data\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 1
C:\Documents and Settings\Utilisateur\Application Data\dclogs\2012-06-18-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

(fin)
j'exécute l'analyse d'Eset Online Scanner mais par 2 fois mon ordi plante et se retrouve sur une page bleue qui me dit : "un processus ou une thread crucial au fonctionnement du système s'est terminée ou a été interrompue de façon innatendue "
donc je ne peux pas copier coller le rapport. J'ai M Essental Security comme anti viruset a chaque nettoyage il me trouve ce fichu virus
merci de me dire quoi faire.... ou de m'aider...
je voudrais bien me débarrasser de ce maudis virus
France

64 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une infection par le virus Finloski est signalée après ZHPDiag et un scan ESET Online Scanner, avec des éléments malveillants détectés dans le registre et des dossiers.
Des outils antivirus et antimalware, notamment MBAM et ESET, détectent des traces, mais les plantages et l'écran bleu surviennent pendant les analyses.
La réponse principale préconise d’utiliser ZHPFix sur XP, de coller les lignes détectées, puis de cliquer sur Tous et Nettoyer, en désactivant temporairement les défenses et en consultant le rapport.
En cas de doute, vérifier que les lignes copiées proviennent du rapport ZHPDiag et éviter d’étendre le nettoyage sans contrôle afin de limiter les risques et assurer la traçabilité.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    ouaip mais c'est pas normal que pre_scan t'éteigne le pc je l'ai pas programmé pour ca lol ^^
    2
  2. france2107 Messages postés 32 Statut Membre 1
     
    bonsoir, c'est gentil de vouloir m'aider
    je viens de désinstaller spybot et j'ai lancé ADWCleaner
    mais re belotte mon PC a de nouveau planté avec la meme page bleue (je n'ai plus d'accent circonflexe !!!)
    j'attend votre réponse
    1
  3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, tu nous dis
    J'ai M Essental Security comme anti viruset a chaque nettoyage il me trouve ce fichu virus 
    ok mais as tu le nom et le chemin de cela afin de savoir ou il le trouve exactement !!

    et puis commence par désinstaller spybot qui ne sert plus à rien ou presque sauf mettre le bordel sur le pc !!!

    et vus le zhpdiag tu nous fais cela

    1) passes adwcleaner mode SUPPRESSION

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    2) postes un nouveau zhpdiag mais avec une mises à jour

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

    FAIS LUI LA MISE A JOUR en cliquant sur la fléche verte " update" installe la et relance zhpdiag !!

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    https://www.cjoint.com/

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : http://threat-rc.com/
    ou
    http://pjjoint.malekal.com/
    0
  4. france2107 Messages postés 32 Statut Membre 1
     
    je crois que j'ai chopé une vrai belle saloperie
    ça me fous les chocottes ce plantage 3 fois de suite
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      essais de faire cela en mode sans echec avec prise en charge réseau dans se mode tu aura internet donc tu pourra venir ici !!

      pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

      (attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

      .Cliques sur Démarrer
      .Cliques sur Arrêter
      .Sélectionnes Redémarrer et au redémarrage
      .Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
      .Utilises les touches de direction pour sélectionner

      mode sans échec avec prise en charge réseau

      .puis appuis sur ENTRÉE
      .Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
      une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

      tuto:http://www.vista-xp.fr/forum/topic93.html
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. france2107 Messages postés 32 Statut Membre 1
     
    je n'ai pas osé relancer ADWCleaner, juste ZHPDiag
    https://www.cjoint.com/?BFswAEi00tl
    je n'ai pas eu de message demandant la validation pour SIGCHECK
    voilà pour ce soir, je vais déconnecter
    bonne soirée
    France
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      si tu as pas fais adwcleaner le zhpdiag nous montre exactement ce qu'il y avait avant !!!

      bon tu feras zhpfix comme expliquer avec toutes les lignes donnés !!


      . Copie les lignes suivantes en GRAS entre les deux lignes


      __________________________________________________________



      SysRestore
      FirewallRAZ
      EmptyFlash
      EmptyTemp
      [MD5.6BFDB82BF133C5ADB1F0869BC389CD9E] - (.nomini furore - Donne levano preso puzzo.) -- C:\Documents and Settings\Utilisateur\Application Data\Live\msn.exe [434176] [PID.]
      M3 - MFPP: Plugins - [Utilisateur] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
      M0 - MFSP: prefs.js [Utilisateur - g177wdvn.default] http://search.babylon.com
      R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs = http://search.babylon.com
      O2 - BHO: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} Clé orpheline
      O4 - HKCU\..\Run: [Widows Live] . (.nomini furore - Donne levano preso puzzo.) -- C:\Documents and Settings\Utilisateur\Application Data\Live\msn.exe
      O4 - HKCU\..\Run: [Widows Lives] . (.tanfo gregge - Spensi sporte smorte otturo.) -- C:\Documents and Settings\Utilisateur\Application Data\baro\isass.exe
      O4 - HKUS\S-1-5-21-1715567821-527237240-1801674531-1004\..\Run: [Widows Live] . (.nomini furore - Donne levano preso puzzo.) -- C:\Documents and Settings\Utilisateur\Application Data\Live\msn.exe
      O4 - HKUS\S-1-5-21-1715567821-527237240-1801674531-1004\..\Run: [Widows Lives] . (.tanfo gregge - Spensi sporte smorte otturo.) -- C:\Documents and Settings\Utilisateur\Application Data\baro\isass.exe
      OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Program Files\NVIDIA Corporation\nview\nwiz.exe
      OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
      OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
      OPT:O4 - HKCU\..\Run: [LogitechSoftwareUpdate] . (.Logitech Inc. - Logitech Software Update.) -- C:\Program Files\Logitech\Video\ManifestEngine.exe
      OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-21-1715567821-527237240-1801674531-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
      OPT:O4 - HKUS\S-1-5-21-1715567821-527237240-1801674531-1004\..\Run: [LogitechSoftwareUpdate] . (.Logitech Inc. - Logitech Software Update.) -- C:\Program Files\Logitech\Video\ManifestEngine.exe
      [HKCU\Software\DC3_FEXEC]
      [HKCU\Software\PriceGong]
      O43 - CFD: 06/04/2012 - 13:59:08 - [0,340] ----D C:\Documents and Settings\Utilisateur\Application Data\PriceGong
      O47 - AAKE:Key Export SP - "C:\Documents and Settings\Utilisateur\Application Data\d3\svchost.exe" [Enabled] .(.viali moglie - Aguzzo minuto valere reputa.) -- C:\Documents and Settings\Utilisateur\Application Data\d3\svchost.exe
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("browser.search.order.1", "Search the web (Babylon)");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("browser.startup.homepage", "http://search.babylon.com/?AF=119998&babsrc=HP_ss&mntrId=70c15020000000000000002618785414")[...]
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.babExt", "");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=119998");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.hardId", "70c15020000000000000002618785414");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.id", "70c15020000000000000002618785414");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15398");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.newTab", true);
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://search.babylon.com/?AF=119998&babsrc=NT_ss&mntrId=70c150200000000000000[...]
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1717:27:54");
      O69 - SBI: prefs.js [Utilisateur - g177wdvn.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
      O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://search.conduit.com
      [HKLM\Software\Classes\.b4f]
      [HKLM\Software\Classes\b]
      [HKLM\Software\Classes\burn4free project]
      [HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
      [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{338B4DFE-2E2C-4338-9E41-E176D497299E}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{338B4DFE-2E2C-4338-9E41-E176D497299E}]
      [HKLM\Software\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}]
      [HKLM\Software\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
      [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}]
      [HKLM\Software\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]
      [HKLM\Software\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
      C:\Documents and Settings\Utilisateur\Application Data\PriceGong
      c:\documents and settings\utilisateur\application data\live\msn.exe
      c:\documents and settings\utilisateur\application data\baro\isass.exe


      __________________________________________________________________



      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
      . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

      PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

      !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
      0
  7. france2107 Messages postés 32 Statut Membre 1
     
    re bonjour !

    pour répondre à la toute première question le chemin du virus est C:\WINDOWS\System32\winlogon.exe (Blackdoor : Win32/Fynloski.A)

    voici le rapport dAdwCleaner

    # AdwCleaner v1.609 - Rapport créé le 19/06/2012 à 12:30:22
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Utilisateur - UTILISAT-3D59B2
    # Exécuté depuis : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Registre - GUID] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v9.0 (en-US)

    Nom du profil : default
    Fichier : C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\g177wdvn.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v19.0.1084.56

    Fichier : C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [28128 octets] - [06/02/2012 23:20:41]
    AdwCleaner[S1].txt - [28637 octets] - [06/02/2012 23:20:51]
    AdwCleaner[R2].txt - [19933 octets] - [18/06/2012 19:06:22]
    AdwCleaner[S2].txt - [350 octets] - [18/06/2012 19:06:55]
    AdwCleaner[R3].txt - [20059 octets] - [18/06/2012 22:01:16]
    AdwCleaner[R4].txt - [20120 octets] - [18/06/2012 22:01:46]
    AdwCleaner[R5].txt - [20240 octets] - [19/06/2012 12:22:20]
    AdwCleaner[R6].txt - [1654 octets] - [19/06/2012 12:29:06]
    AdwCleaner[S4].txt - [1587 octets] - [19/06/2012 12:30:22]

    ########## EOF - C:\AdwCleaner[S4].txt - [1715 octets] ##########
    puis celui de ZHPDiag
    https://www.cjoint.com/?BFtm3DBkzxB
    après j'ai un petit doute quant à la formulation de ta phrase

    bon tu feras zhpfix comme expliquer avec toutes les lignes donnés !!

    . Copie les lignes suivantes en GRAS entre les deux lignes

    il faut que je copie juste les lignes en gras qui sont noires, pas les bleues ?
    J'attend ta réponse avant de faire d'autres betises...
    merci
    0
    1. bar056 Messages postés 358 Statut Membre 52
       
      bonjour,

      copie tous les caractères compris entre les 2 lignes
      -----------
      abc...

      ----------

      bleu car c'est un lien (c'est quelque chose d'automatique, la transformation en bleu)
      Donc, oui avec les lignes bleues
      0
  8. france2107 Messages postés 32 Statut Membre 1
     
    ok merci
    j'ai encore planté en faisant ça....
    page bleue...
    je re essaye ?
    0
  9. france2107 Messages postés 32 Statut Membre 1
     
    j'ai re essayé, j'ai désactivé les défenses et tout fermé les apllications, et re page bleue
    est-ce-qu'il faut me remettre en mode sans échec ?
    0
  10. g3n-h@ckm@n
     
    salut pour avancer jacques :


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , à l'enregistrement change le nom de Combofix en "ce que tu veux.exe" avant qu'il soit enregistré sur ton disque dur

    clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
  11. france2107 Messages postés 32 Statut Membre 1
     
    wow.... Je vais essayé tout ça...
    je n'ai pas AVG MAIS Microsoft Security Essentials et je suis en mode sans échec.. tout est bon ?
    0
    1. g3n-h@ckm@n
       
      oué
      0
  12. france2107 Messages postés 32 Statut Membre 1
     
    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut
    [spybotsd]
    timeout.old=30

    omboFix 12-06-19.01 - Utilisateur 19/06/2012 15:21:06.1.2 - x86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3583.3135 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe
    AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Documents and Settings\All Users\Application Data\TEMP
    C:\Documents and Settings\Utilisateur\Application Data\baro
    C:\Documents and Settings\Utilisateur\Application Data\baro\isass.exe
    C:\Documents and Settings\Utilisateur\Application Data\ramene.exe
    C:\enzo.exe
    C:\enzo.exe\023.dat
    C:\enzo.exe\023v.dat
    C:\enzo.exe\023w7.dat
    C:\enzo.exe\ActiveDrv.vbs
    C:\enzo.exe\AddDriver02
    C:\enzo.exe\AppData.folder.dat
    C:\enzo.exe\AppDataFile.cfx
    C:\enzo.exe\AppDataFolder.cfx
    C:\enzo.exe\appinit.bad
    C:\enzo.exe\asp.str
    C:\enzo.exe\Assoc.cmd
    C:\enzo.exe\ATTRIB.3XE
    C:\enzo.exe\Auto-RC.cmd
    C:\enzo.exe\av.cmd
    C:\enzo.exe\av.vbs
    C:\enzo.exe\AWF.cmd
    C:\enzo.exe\badclsid
    C:\enzo.exe\BFE.dat
    C:\enzo.exe\Boot-Rk.cmd
    C:\enzo.exe\Boot.bat
    C:\enzo.exe\BootDrv.vbs
    C:\enzo.exe\c.bat
    C:\enzo.exe\c.mrk
    C:\enzo.exe\Cache.folder.dat
    C:\enzo.exe\Catch-sub.cmd
    C:\enzo.exe\catchme.3XE
    C:\enzo.exe\CCS.bat
    C:\enzo.exe\CF-Script.cmd
    C:\enzo.exe\CF8354.3XE
    C:\enzo.exe\CHCP.bat
    C:\enzo.exe\clsid.c
    C:\enzo.exe\clsid.dat
    C:\enzo.exe\clsid.hiv
    C:\enzo.exe\cmd.3XE
    C:\enzo.exe\Combo-Fix.sys
    C:\enzo.exe\Combobatch.bat
    C:\enzo.exe\ComboFix-Download.3XE
    C:\enzo.exe\ConEnv.sed
    C:\enzo.exe\Cookies.folder.dat
    C:\enzo.exe\Create.cmd
    C:\enzo.exe\Creg.dat
    C:\enzo.exe\CregC.cmd
    C:\enzo.exe\CregC.dat
    C:\enzo.exe\CregC_.dat
    C:\enzo.exe\CSCRIPT.3XE
    C:\enzo.exe\d-delA.dat
    C:\enzo.exe\dd.3XE
    C:\enzo.exe\ddsDo.sed
    C:\enzo.exe\DelClsid.bat
    C:\enzo.exe\Desktop.folder.dat
    C:\enzo.exe\desktop.ini
    C:\enzo.exe\DesktopFile.cfx
    C:\enzo.exe\DisclaimED.dat
    C:\enzo.exe\DPF.str
    C:\enzo.exe\DrvRun.vbs
    C:\enzo.exe\dumphive.3XE
    C:\enzo.exe\embedded.sed
    C:\enzo.exe\ERDNT.e_e
    C:\enzo.exe\ERDNTDOS.LOC
    C:\enzo.exe\ERDNTWIN.LOC
    C:\enzo.exe\ERUNT.3XE
    C:\enzo.exe\erunt.dat
    C:\enzo.exe\ERUNT.LOC
    C:\enzo.exe\Exe.reg
    C:\enzo.exe\extract.3XE
    C:\enzo.exe\f_system
    C:\enzo.exe\FavoriteFolder.cfx
    C:\enzo.exe\Favorites.folder.dat
    C:\enzo.exe\FavoritesFile.cfx
    C:\enzo.exe\FD-SV.cmd
    C:\enzo.exe\ffdefstr.dll
    C:\enzo.exe\FileKill.3XE
    C:\enzo.exe\files.pif
    C:\enzo.exe\Fin.dat
    C:\enzo.exe\FIND3M.bat
    C:\enzo.exe\FIXLSP.bat
    C:\enzo.exe\FKMGen.cmd
    C:\enzo.exe\ForeignWht
    C:\enzo.exe\GetHive.cmd
    C:\enzo.exe\grep.3XE
    C:\enzo.exe\gsar.3XE
    C:\enzo.exe\handle.3XE
    C:\enzo.exe\hidec.3XE
    C:\enzo.exe\history.bat
    C:\enzo.exe\History.folder.dat
    C:\enzo.exe\hwid.pif
    C:\enzo.exe\iexplore.exe
    C:\enzo.exe\image001.gif
    C:\enzo.exe\Imefile.dat
    C:\enzo.exe\Install-RC.cmd
    C:\enzo.exe\katch.cmd
    C:\enzo.exe\Kill-All.cmd
    C:\enzo.exe\kmd.dat
    C:\enzo.exe\KNetSvcs.vbs
    C:\enzo.exe\Lang.bat
    C:\enzo.exe\LatestVer
    C:\enzo.exe\List-B.bat
    C:\enzo.exe\List-C.bat
    C:\enzo.exe\List-D.bat
    C:\enzo.exe\List.bat
    C:\enzo.exe\lnkread.vbs
    C:\enzo.exe\LocalAppData.folder.dat
    C:\enzo.exe\LocalAppDataFile.cfx
    C:\enzo.exe\LocalAppDataFolder.cfx
    C:\enzo.exe\LocalService.dat
    C:\enzo.exe\LocalServiceNetworkRestricted.dat
    C:\enzo.exe\LocalSettings.folder.dat
    C:\enzo.exe\LocalSettingsFile.cfx
    C:\enzo.exe\LocalSystemNetworkRestricted.dat
    C:\enzo.exe\mbr.3XE
    C:\enzo.exe\mbr.chk
    C:\enzo.exe\md5sum.pif
    C:\enzo.exe\Mirrors
    C:\enzo.exe\MoveIt.bat
    C:\enzo.exe\MpsSvc.dat
    C:\enzo.exe\mtee.3XE
    C:\enzo.exe\Music.folder.dat
    C:\enzo.exe\MWindows.dat
    C:\enzo.exe\mynul.dat
    C:\enzo.exe\N_\1606
    C:\enzo.exe\N_\23384
    C:\enzo.exe\N_\25380
    C:\enzo.exe\N_\30088
    C:\enzo.exe\N_\9105
    C:\enzo.exe\ncmd.com
    C:\enzo.exe\ND_.bat
    C:\enzo.exe\ND_64.bat
    C:\enzo.exe\ndis_combofix.dat
    C:\enzo.exe\NetHood.folder.dat
    C:\enzo.exe\netsvc.bad.dat
    C:\enzo.exe\netsvc.dat
    C:\enzo.exe\NetworkService.dat
    C:\enzo.exe\NirCmd.3XE
    C:\enzo.exe\NircmdB.exe
    C:\enzo.exe\NirCmdC.3XE
    C:\enzo.exe\NIRKMD.3XE
    C:\enzo.exe\NlsLanguageDefault
    C:\enzo.exe\NT-OS.cmd
    C:\enzo.exe\NULL
    C:\enzo.exe\OsId.txt
    C:\enzo.exe\OSid.vbs
    C:\enzo.exe\pausep.3XE
    C:\enzo.exe\Personal.folder.dat
    C:\enzo.exe\PersonalFile.cfx
    C:\enzo.exe\PersonalFolder.cfx
    C:\enzo.exe\pev.3XE
    C:\enzo.exe\PEV.exe
    C:\enzo.exe\pevb.3XE
    C:\enzo.exe\Pictures.folder.dat
    C:\enzo.exe\PING.3XE
    C:\enzo.exe\Policies.dat
    C:\enzo.exe\powp.dat
    C:\enzo.exe\Prep.inf
    C:\enzo.exe\PrintHood.folder.dat
    C:\enzo.exe\Profiles.Folder.dat
    C:\enzo.exe\Profiles.Folder.folder.dat
    C:\enzo.exe\ProfilesFile.cfx
    C:\enzo.exe\ProfilesFolder.cfx
    C:\enzo.exe\progfile.dat
    C:\enzo.exe\Programs.folder.dat
    C:\enzo.exe\ProgramsFile.cfx
    C:\enzo.exe\ProgramsFolder.cfx
    C:\enzo.exe\Purity.dat
    C:\enzo.exe\PV.3XE
    C:\enzo.exe\pv.com
    C:\enzo.exe\rar_sfx.cmd
    C:\enzo.exe\RCLink.dat
    C:\enzo.exe\RcNo
    C:\enzo.exe\RcVer00
    C:\enzo.exe\Recent.folder.dat
    C:\enzo.exe\REGDACL.sed
    C:\enzo.exe\RegDo.sed
    C:\enzo.exe\region.dat
    C:\enzo.exe\RegScan.cmd
    C:\enzo.exe\REGT.3XE
    C:\enzo.exe\Resident.txt
    C:\enzo.exe\restore_pt.dat
    C:\enzo.exe\restore_pt.vbs
    C:\enzo.exe\Rkey.cmd
    C:\enzo.exe\rmbr.3XE
    C:\enzo.exe\rogues.dat
    C:\enzo.exe\ROUTE.3XE
    C:\enzo.exe\run2.sed
    C:\enzo.exe\Rust.str
    C:\enzo.exe\s0rt.3XE
    C:\enzo.exe\safeboot.dat
    C:\enzo.exe\safeboot.def.dat
    C:\enzo.exe\sed.3XE
    C:\enzo.exe\SendTo.folder.dat
    C:\enzo.exe\SetEnvmt.bat
    C:\enzo.exe\setpath.3XE
    C:\enzo.exe\SetPath.bat
    C:\enzo.exe\setpath_N.cmd
    C:\enzo.exe\SF.exe
    C:\enzo.exe\sfx.cmd
    C:\enzo.exe\ShAccess.dat
    C:\enzo.exe\SnapShot.cmd
    C:\enzo.exe\SRestore.cmd
    C:\enzo.exe\srizbi.md5
    C:\enzo.exe\Start_dat
    C:\enzo.exe\StartMenu.folder.dat
    C:\enzo.exe\StartMenuFile.cfx
    C:\enzo.exe\StartMenuFolder.cfx
    C:\enzo.exe\StartUp.folder.dat
    C:\enzo.exe\StartUpFile.cfx
    C:\enzo.exe\SuppScan.cmd
    C:\enzo.exe\svc_wht.dat
    C:\enzo.exe\SvcDrv.vbs
    C:\enzo.exe\svchost.dat
    C:\enzo.exe\svchost.vista.x64.dat
    C:\enzo.exe\swreg.3XE
    C:\enzo.exe\swsc.3XE
    C:\enzo.exe\swxcacls.3XE
    C:\enzo.exe\SysPath.dat
    C:\enzo.exe\system_ini.dat
    C:\enzo.exe\tail.3XE
    C:\enzo.exe\temp00
    C:\enzo.exe\Templates.folder.dat
    C:\enzo.exe\TemplatesFile.cfx
    C:\enzo.exe\TemplatesFolder.cfx
    C:\enzo.exe\toolbar.sed
    C:\enzo.exe\Update-CF.cmd
    C:\enzo.exe\Utilisateur.user.cf
    C:\enzo.exe\VBR.pif
    C:\enzo.exe\VerCF.bat
    C:\enzo.exe\version.txt
    C:\enzo.exe\VikPev00
    C:\enzo.exe\Vikpev01
    C:\enzo.exe\VInfo
    C:\enzo.exe\VInfo2
    C:\enzo.exe\VINFO3
    C:\enzo.exe\Vipev.dat
    C:\enzo.exe\vistaMcode.dat
    C:\enzo.exe\vun.dat
    C:\enzo.exe\w_sock.dll
    C:\enzo.exe\w7Mcode.dat
    C:\enzo.exe\Wmi_rem.vbs
    C:\enzo.exe\XP.mac
    C:\enzo.exe\xpmcode.dat
    C:\enzo.exe\xpreg.dat
    C:\enzo.exe\XPSBoot.reg
    C:\enzo.exe\zDomain.dat
    C:\enzo.exe\zhsvc.dat
    C:\enzo.exe\zip.3XE
    C:\Install.exe

    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_BOONTY_GAMES
    -------\Service_Boonty Games

    ((((((((((((((((((((((((((((( Fichiers créés du 2012-05-19 au 2012-06-19 ))))))))))))))))))))))))))))))))))))

    2012-06-19 12:19:08 . 2012-05-14 23:43:56 6737808 ----a-w- C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{1D14C59C-5DD2-4EA3-B711-3487584918F1}\mpengine.dll
    2012-06-18 20:02:10 . 2012-06-18 20:02:11 -------- d-----w- C:\a7795eac122057dc3b448da899ed9eee
    2012-06-18 19:07:57 . 2012-06-19 10:43:35 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\dclogs
    2012-06-18 18:57:21 . 2012-06-18 18:57:21 -------- d-----w- C:\Program Files\ESET
    2012-06-18 17:55:13 . 2012-06-18 17:55:13 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\DriverCure
    2012-06-18 17:55:12 . 2012-06-18 17:55:12 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\SpeedMaxPc
    2012-06-18 17:54:50 . 2012-06-18 18:13:45 -------- d-----w- C:\Documents and Settings\All Users\Application Data\SpeedMaxPc
    2012-06-18 15:22:10 . 2012-06-18 15:23:39 -------- d-----w- C:\389abcb9119db508a0
    2012-06-18 15:17:48 . 2012-05-14 23:43:56 6737808 ----a-w- C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
    2012-06-17 19:42:18 . 2012-06-17 19:44:04 -------- d-----w- C:\cd1b13a7f7fe90184389083ea42c
    2012-06-17 17:06:23 . 2012-06-17 17:06:41 -------- d-----w- C:\478c58f01a4e8b0a7bc7a9f0f8e32637
    2012-06-17 17:01:42 . 2012-06-17 17:01:42 -------- d-----w- C:\WINDOWS\system32\wbem\Repository
    2012-06-17 16:59:55 . 2012-06-17 16:59:57 -------- d-----w- C:\Program Files\PC Speed Maximizer
    2012-06-17 16:59:55 . 2012-06-17 16:59:55 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\PC Speed Maximizer
    2012-06-17 16:56:29 . 2012-06-17 16:56:29 -------- d-----w- C:\Program Files\SPlayer
    2012-06-17 10:55:13 . 2012-06-19 10:46:12 -------- d-----w- C:\ZHP
    2012-06-17 10:54:45 . 2012-06-19 10:46:05 -------- d-----w- C:\Program Files\ZHPDiag
    2012-06-17 10:48:57 . 2012-06-18 14:02:09 -------- d-----w- C:\UsbFix
    2012-06-15 10:23:03 . 2012-06-15 10:23:03 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\ElevatedDiagnostics
    2012-06-14 07:41:09 . 2012-05-11 14:40:43 521728 -c----w- C:\WINDOWS\system32\dllcache\jsdbgui.dll
    2012-06-12 15:01:17 . 2012-06-12 15:01:17 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\d3
    2012-06-12 11:58:26 . 2012-06-12 11:58:49 -------- d-----w- C:\79277636abf0aa09d6c9
    2012-06-11 08:56:26 . 2012-06-11 08:56:26 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\Live
    2012-06-10 19:31:35 . 2009-09-04 15:29:32 1974616 ----a-w- C:\WINDOWS\system32\D3DCompiler_42.dll
    2012-06-10 19:31:27 . 2009-09-04 15:29:30 1892184 ----a-w- C:\WINDOWS\system32\D3DX9_42.dll
    2012-06-10 19:31:19 . 2008-10-15 04:22:52 4379984 ----a-w- C:\WINDOWS\system32\D3DX9_40.dll
    2012-06-10 19:31:11 . 2007-07-19 16:14:42 3727720 ----a-w- C:\WINDOWS\system32\d3dx9_35.dll
    2012-06-10 19:31:03 . 2007-05-16 14:45:16 3497832 ----a-w- C:\WINDOWS\system32\d3dx9_34.dll
    2012-06-09 19:22:26 . 2012-06-09 19:22:26 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\Origin
    2012-06-07 11:26:45 . 2012-06-07 11:26:45 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\Picsoft
    2012-06-02 19:31:35 . 2012-06-02 19:31:35 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\RegistryKeys
    2012-05-30 11:59:30 . 2012-05-30 11:59:30 4966600 ----a-w- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
    2012-05-29 15:41:29 . 2012-05-29 15:41:54 -------- d-----w- C:\Documents and Settings\Utilisateur\Application Data\7Wonders
    .

    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

    2012-06-18 13:41:35 . 2008-04-14 12:00:00 512000 ----a-w- C:\WINDOWS\system32\winlogon.exe
    2012-06-02 13:19:48 . 2009-08-06 18:24:26 16408 ----a-w- C:\WINDOWS\system32\wuapi.dll.mui
    2012-06-02 13:19:38 . 2011-11-18 09:42:15 329240 ----a-w- C:\WINDOWS\system32\wucltui.dll
    2012-06-02 13:19:38 . 2011-11-18 09:42:15 219160 ----a-w- C:\WINDOWS\system32\wuaucpl.cpl
    2012-06-02 13:19:38 . 2011-11-18 09:42:15 210968 ----a-w- C:\WINDOWS\system32\wuweb.dll
    2012-06-02 13:19:34 . 2011-11-18 09:42:15 53784 ----a-w- C:\WINDOWS\system32\wuauclt.exe
    2012-06-02 13:19:34 . 2011-11-18 09:42:15 35864 ----a-w- C:\WINDOWS\system32\wups.dll
    2012-06-02 13:19:34 . 2009-08-06 18:24:10 45080 ----a-w- C:\WINDOWS\system32\wups2.dll
    2012-06-02 13:19:34 . 2008-04-14 12:00:00 97304 ----a-w- C:\WINDOWS\system32\cdm.dll
    2012-06-02 13:19:30 . 2009-08-06 18:24:00 19480 ----a-w- C:\WINDOWS\system32\wuaueng.dll.mui
    2012-06-02 13:19:30 . 2009-08-06 18:24:00 16408 ----a-w- C:\WINDOWS\system32\wuaucpl.cpl.mui
    2012-06-02 13:19:24 . 2011-11-18 09:42:15 577048 ----a-w- C:\WINDOWS\system32\wuapi.dll
    2012-06-02 13:19:18 . 2011-11-18 09:42:15 1933848 ----a-w- C:\WINDOWS\system32\wuaueng.dll
    2012-06-02 13:19:18 . 2009-08-06 18:23:46 25112 ----a-w- C:\WINDOWS\system32\wucltui.dll.mui
    2012-06-02 13:18:58 . 2011-11-21 10:29:37 275696 ----a-w- C:\WINDOWS\system32\mucltui.dll
    2012-06-02 13:18:58 . 2011-11-21 10:29:37 214256 ----a-w- C:\WINDOWS\system32\muweb.dll
    2012-06-02 13:18:58 . 2011-11-21 10:29:37 18672 ----a-w- C:\WINDOWS\system32\mucltui.dll.mui
    2012-05-31 13:22:03 . 2008-04-14 12:00:00 606208 ----a-w- C:\WINDOWS\system32\crypt32.dll
    2012-05-18 12:46:41 . 2012-05-18 12:46:41 674304 ----a-w- C:\WINDOWS\system32\Jour de Pluie.scr
    2012-05-16 15:06:36 . 2008-04-14 12:00:00 916992 ----a-w- C:\WINDOWS\system32\wininet.dll
    2012-05-15 13:55:57 . 2008-04-14 12:00:00 1863296 ----a-w- C:\WINDOWS\system32\win32k.sys
    2012-05-11 14:40:43 . 2008-04-14 12:00:00 43520 ------w- C:\WINDOWS\system32\licmgr10.dll
    2012-05-11 14:40:43 . 2008-04-14 12:00:00 1469440 ------w- C:\WINDOWS\system32\inetcpl.cpl
    2012-05-11 11:38:14 . 2008-04-14 12:00:00 385024 ------w- C:\WINDOWS\system32\html.iec
    2012-05-05 03:15:00 . 2008-04-14 12:00:00 2150400 ----a-w- C:\WINDOWS\system32\ntoskrnl.exe
    2012-05-05 03:14:59 . 2008-04-13 19:07:36 2028544 ----a-w- C:\WINDOWS\system32\ntkrnlpa.exe
    2012-05-04 21:29:09 . 2012-04-10 19:53:37 419488 ----a-w- C:\WINDOWS\system32\FlashPlayerApp.exe
    2012-05-04 21:29:09 . 2011-11-20 10:53:10 70304 ----a-w- C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
    2012-05-02 13:47:11 . 2011-11-18 09:40:21 139656 ----a-w- C:\WINDOWS\system32\drivers\rdpwd.sys
    2012-04-04 13:56:40 . 2011-11-20 10:33:34 22344 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
    2011-11-30 20:42:35 . 2011-12-02 11:51:52 121816 ----a-w- C:\Program Files\mozilla firefox\components\browsercomps.dll

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2009-08-16 19:36:06 955392]
    "Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2010-05-11 11:33:50 486632]
    "LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44:14 196608]
    "Gadwin PrintScreen"="C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2008-12-09 11:08:38 495616]
    "PC Speed Maximizer"="C:\Program Files\PC Speed Maximizer\SPMLauncher.exe" [2011-07-22 07:57:54 46424]
    "Widows Live"="C:\Documents and Settings\Utilisateur\Application Data\Live\msn.exe" [2012-06-11 08:56:29 434176]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2011-11-20 14:47:16 20480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2011-10-08 04:50:00 16744256]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2011-10-08 04:50:00 203072]
    "nwiz"="C:\Program Files\NVIDIA Corporation\nview\nwiz.exe" [2011-10-08 04:50:00 1632360]
    "RTHDCPL"="RTHDCPL.EXE" [2009-08-14 13:08:20 18702336]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 01:41:12 49208]
    "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32:18 221184]
    "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24:32 458752]
    "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14:44 217088]
    "NPSStartup"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14:44 217088]
    "Malwarebytes' Anti-Malware"="C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 12:53:18 460872]
    "Adobe ARM"="C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 07:37:53 843712]
    "SunJavaUpdateSched"="C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-18 13:02:04 254696]
    "ArcSoft Connection Service"="C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 18:17:52 207424]
    "MSC"="c:\Program Files\Microsoft Security Client\msseces.exe" [2012-03-26 15:08:12 931200]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 12:00:00 15360]

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2011-11-20 450560]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "UIHost"=hex(2):6c,6f,67,6f,6e,75,69,2e,65,78,65,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "AutoStartNPSAgent"=C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    "Facebook Update"="C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
    "LDM"=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "ArcSoft Connection Service"=C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
    "PWRISOVM.EXE"=C:\Program Files\PowerISO\PWRISOVM.EXE
    "Easy-PrintToolBox"=C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    "DivXUpdate"="C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "DisableNotifications"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Magentic\\bin\\MgImp.exe"=
    "C:\\Program Files\\Magentic\\bin\\Magentic.exe"=
    "C:\\Program Files\\Magentic\\bin\\MgApp.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
    "C:\\Program Files\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
    "C:\\Program Files\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "C:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\WINDOWS\\system32\\java.exe"=
    "C:\\Documents and Settings\\Utilisateur\\Local Settings\\Application Data\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
    "C:\\Documents and Settings\\Utilisateur\\Application Data\\d3\\svchost.exe"=

    R0 BtHidBus;Bluetooth HID Bus Service;C:\WINDOWS\system32\drivers\BtHidBus.sys [21/12/2011 14:47:06 21600]
    R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [20/11/2011 17:20:28 238952]
    R2 MBAMService;MBAMService;C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [20/11/2011 12:33:37 652360]
    R2 Skype C2C Service;Skype C2C Service;C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [30/05/2012 13:56:52 3048136]
    R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [20/11/2011 17:20:28 36608]
    R3 MBAMProtector;MBAMProtector;C:\WINDOWS\system32\drivers\mbam.sys [20/11/2011 12:33:34 22344]
    S2 gupdate;Service Google Update (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [20/11/2011 12:15:56 135664]
    S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe [10/04/2012 21:53:37 257696]
    S3 Ambfilt;Ambfilt;C:\WINDOWS\system32\drivers\Ambfilt.sys [18/11/2011 13:24:00 1684736]
    S3 AX88172;ASIX AX88172 USB2 to Fast Ethernet Adapter;C:\WINDOWS\system32\drivers\ax88172.sys [12/09/2011 11:25:23 14032]
    S3 BTCOM;Bluetooth Serial port driver;C:\WINDOWS\system32\DRIVERS\btcomport.sys --> C:\WINDOWS\system32\DRIVERS\btcomport.sys [?]
    S3 BTCOMBUS;Bluetooth Serial Port Bus Service;C:\WINDOWS\system32\Drivers\btcombus.sys --> C:\WINDOWS\system32\Drivers\btcombus.sys [?]
    S3 btnetBUs;Bluetooth PAN Bus Service;C:\WINDOWS\system32\drivers\btnetBus.sys [21/12/2011 14:47:50 27744]
    S3 gupdatem;Service Google Update (gupdatem);C:\Program Files\Google\Update\GoogleUpdate.exe [20/11/2011 12:15:56 135664]
    S3 IvtBtBUs;IVT Bluetooth Bus Service;C:\WINDOWS\system32\drivers\IvtBtBus.sys [06/04/2010 18:32:48 23048]
    S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [14/11/2011 10:48:10 311928]
    S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [20/11/2011 17:36:45 98432]
    S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [20/11/2011 17:36:45 14848]
    S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [20/11/2011 17:36:45 123648]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - FSUSBEXDISK
    *NewlyCreated* - WS2IFSL

    Contenu du dossier 'Tâches planifiées'

    2012-06-19 C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
    - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 19:53:37 . 2012-05-04 21:29:10]

    2012-06-09 C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1715567821-527237240-1801674531-1004Core.job
    - C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-12 21:30:06 . 2012-05-12 21:30:04]

    2012-06-19 C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1715567821-527237240-1801674531-1004UA.job
    - C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-12 21:30:06 . 2012-05-12 21:30:04]

    2012-06-19 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
    - C:\Program Files\Google\Update\GoogleUpdate.exe [2011-11-20 10:15:56 . 2011-11-20 10:15:54]

    2012-06-19 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
    - C:\Program Files\Google\Update\GoogleUpdate.exe [2011-11-20 10:15:56 . 2011-11-20 10:15:54]

    2012-06-19 C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job
    - c:\Program Files\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03:40 . 2012-03-26 15:03:40]

    2012-04-23 C:\WINDOWS\Tasks\prismDowngrade.job
    - C:\Program Files\NCH Software\Prism\prism.exe [2012-03-31 21:30:01 . 2012-04-09 14:58:09]

    2012-06-12 C:\WINDOWS\Tasks\prismShakeIcon.job
    - C:\Program Files\NCH Software\Prism\prism.exe [2012-03-31 21:30:01 . 2012-04-09 14:58:09]

    2012-06-12 C:\WINDOWS\Tasks\switchShakeIcon.job
    - C:\Program Files\NCH Software\Switch\switch.exe [2011-11-27 18:02:38 . 2011-11-27 18:02:38]

    ------- Examen supplémentaire -------

    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://www.google.com/ie
    mStart Page = hxxp://www.google.com
    uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,;localhost
    uInternet Settings,ProxyServer = socks=
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: Add to Google Photos Screensa&ver - C:\WINDOWS\system32\GPhotos.scr/200
    IE: Easy-WebPrint Ajouter à la liste d'impressions - C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    IE: Easy-WebPrint Impression rapide - C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    IE: Easy-WebPrint Imprimer - C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    IE: Easy-WebPrint Prévisualiser - C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
    TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
    FF - ProfilePath - C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\g177wdvn.default\
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=

    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{0CB91E95-22B9-5667-3146-7B8A13707E3C} - (no file)
    BHO-{7A8D27AB-073F-6869-33F0-38A1526C7445} - (no file)
    Toolbar-10 - (no file)
    HKCU-Run-Widows Lives - C:\Documents and Settings\Utilisateur\Application Data\baro\isass.exe

    tealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: Hitachi_HDP725050GLA360 rev.GM4OA5CA -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    tealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: Hitachi_HDP725050GLA360 rev.GM4OA5CA -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3583.3135 [GMT 2:00]
    .:\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
    C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
    C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
    C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
    C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
    C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
    C:\\boot.ini\\\(0!\|0\\0\)
    C:\\ntdetect.com\\\(0!\|0\\0\)
    C:\\ntldr\\\(0!\|0\\0\)
    C:\\WINDOWS\\\(\\\|0!\|0\\0\)
    C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)

    [HKEY_USERS\S-1-5-21-1715567821-527237240-1801674531-1004\Software\Microsoft\Notification de cadeaux MSN]
    @DACL=(02 0000)
    "NextCheck"="1323713154"
    "AppVersion"="1.1.0.0"
    "ProductVersion"=dword:0132dcb0
    "NextDisp"="1323194754"

    [HKEY_LOCAL_MACHINE\software\Microsoft\DbgagD\1*]
    "value"="?\0b\00\14\0b\122G"
    AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
    12-06-19.01 4560556 M 12-06-18.02

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-06-19 15:26:46
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...
    0
  13. g3n-h@ckm@n
     
    Attention : cet outil peut etre détecté à tort comme virus

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    https://toolslib.net

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  14. france2107 Messages postés 32 Statut Membre 1
     
    je ne peux pas faire ça, trois fois de suite ça plante j'ai de nouveau la page bleue juste le scan démarré et les protections coupées
    0
  15. france2107 Messages postés 32 Statut Membre 1
     
    j'essaye l'autre
    0
  16. g3n-h@ckm@n
     
    heu c'est tout ce qu'il y a dedans ?
    0
  17. france2107 Messages postés 32 Statut Membre 1
     
    je ne sais pas, j'ai fait comme tu m'as dis
    0
  18. france2107 Messages postés 32 Statut Membre 1
     
    en fait il n'est pas si long que ça, je peux peut être le mettre directement
    0
  • 1
  • 2
  • 3
  • 4