TR.crypt.ZPack.gen (et autres)
Résolu
tica2012
Messages postés
31
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je ne suis pas bien certain que tous les symptômes soient liés (en fait je n'en sais même rien du tout) mais comme tout a eu tendance à apparaître au même moment, je vais essayer de lister mes problèmes.
Le premier symptôme - le plus apparent, qui explique que je poste sur ce forum - est le moche TR.crypt.ZPack.gen, que Antivir n'en finit pas de retrouver malgré mes mises en quarantaine successives. J'ai aussi essayé MAM et spybot en mode sans échec, sans plus de succès.
Mon navigateur (firefox) est plus lent qu'un chameau (malgré le téléchargement de flashblock) et des fenêtres intempestives s'ouvrent; plus pénible encore, des liens cliqués sur un célèbre moteur de recherche à lunettes m'envoient vers des pages sans ... lien avec les pages demandées (généralement je me retrouve sur le site d'un célèbre site d'enchères en lignes).
D'autres symptômes sont apparus: d'une part windows met des plombes à démarrer alors que j'ai réduit la liste des programmes sous l'onglet démarrage automatique de ccleaner au minimum; ma configuration est par ailleurs très légère il y a donc relativement peu de programmes qui tournent (enfin à mon avis en tout cas...).
D'autre part, le son a depuis quelques semaines pris le détour d'un concasseur ou de quelque chose comme ça, proche du hoquet ou d'un pêt d'âne (j'hésite encore à le qualifier dans l'espoir que tout revienne à la normale au prochain redémarrage, attitude pas très rationnelle j'en conviens). J'avais tenter de désinstaller les codecs et de les réinstaller, sans grand succès non plus.
Je suis arrivé au bout de ce que je pouvais faire dans mes modestes limites et je serais donc débordant de reconnaissance pour celle ou celui d'entre vous qui voudra m'aider à lutter contre cette insupportable sédition technologique.
Amicalement,
Tica
Je ne suis pas bien certain que tous les symptômes soient liés (en fait je n'en sais même rien du tout) mais comme tout a eu tendance à apparaître au même moment, je vais essayer de lister mes problèmes.
Le premier symptôme - le plus apparent, qui explique que je poste sur ce forum - est le moche TR.crypt.ZPack.gen, que Antivir n'en finit pas de retrouver malgré mes mises en quarantaine successives. J'ai aussi essayé MAM et spybot en mode sans échec, sans plus de succès.
Mon navigateur (firefox) est plus lent qu'un chameau (malgré le téléchargement de flashblock) et des fenêtres intempestives s'ouvrent; plus pénible encore, des liens cliqués sur un célèbre moteur de recherche à lunettes m'envoient vers des pages sans ... lien avec les pages demandées (généralement je me retrouve sur le site d'un célèbre site d'enchères en lignes).
D'autres symptômes sont apparus: d'une part windows met des plombes à démarrer alors que j'ai réduit la liste des programmes sous l'onglet démarrage automatique de ccleaner au minimum; ma configuration est par ailleurs très légère il y a donc relativement peu de programmes qui tournent (enfin à mon avis en tout cas...).
D'autre part, le son a depuis quelques semaines pris le détour d'un concasseur ou de quelque chose comme ça, proche du hoquet ou d'un pêt d'âne (j'hésite encore à le qualifier dans l'espoir que tout revienne à la normale au prochain redémarrage, attitude pas très rationnelle j'en conviens). J'avais tenter de désinstaller les codecs et de les réinstaller, sans grand succès non plus.
Je suis arrivé au bout de ce que je pouvais faire dans mes modestes limites et je serais donc débordant de reconnaissance pour celle ou celui d'entre vous qui voudra m'aider à lutter contre cette insupportable sédition technologique.
Amicalement,
Tica
20 réponses
Merci de ta réponse.
J'ai eu un peu de mal à combofixer. Dans un premier temps l'écran restait désespérément vide. Après un autre essai, il ne s'est rien passé. Au troisième le programme s'est lancé et m'a averti que la protection résidente de Antivir était toujours active alors que je l'avais désactivée. Du coup j'ai tout désinstallé (après avoir téléchargé un autre antivirus quand même). Après quelques autres essais infructueux, combofix a fini par s'ébrouer. Je te colle son oracle ci-essous:
---
ComboFix 12-08-22.03 - Thierry 22/08/2012 22:32:50.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.641 [GMT 2:00]
Lancé depuis: c:\documents and settings\Thierry\Bureau\Combo.exe
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\$NtUninstallKB45428$
c:\windows\$NtUninstallKB45428$\3041854523\@
c:\windows\$NtUninstallKB45428$\3041854523\Desktop.ini
c:\windows\$NtUninstallKB45428$\3041854523\L\00000004.@
c:\windows\$NtUninstallKB45428$\3041854523\L\201d3dde
c:\windows\$NtUninstallKB45428$\3041854523\L\bemorzll
c:\windows\$NtUninstallKB45428$\3041854523\U\00000004.@
c:\windows\$NtUninstallKB45428$\3041854523\U\00000008.@
c:\windows\$NtUninstallKB45428$\3041854523\U\000000cb.@
c:\windows\$NtUninstallKB45428$\3041854523\U\80000000.@
c:\windows\$NtUninstallKB45428$\3041854523\U\80000032.@
c:\windows\$NtUninstallKB45428$\3043439624
c:\windows\system32\SET70.tmp
c:\windows\system32\SET74.tmp
c:\windows\system32\SET7C.tmp
c:\windows\system32\SETC5.tmp
.
Une copie infectée de c:\windows\system32\drivers\mrxsmb.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-22 au 2012-08-22 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-22 20:26 . 2011-07-15 13:29 456320 -c--a-w- c:\windows\system32\dllcache\mrxsmb.sys
2012-08-22 20:26 . 2011-07-15 13:29 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2012-08-22 11:20 . 2012-08-22 11:20 -------- d-----w- c:\documents and settings\LocalService\Application Data\Haihaisoft PDF Reader
2012-07-26 12:03 . 2012-07-26 12:03 -------- d-----w- c:\documents and settings\Administrateur
2012-07-26 01:32 . 2012-08-22 19:40 -------- d-----w- c:\windows\system32\XPSViewer
2012-07-26 01:31 . 2012-07-26 01:31 -------- d-----w- c:\program files\MSBuild
2012-07-26 01:31 . 2012-07-26 01:31 -------- d-----w- c:\program files\Reference Assemblies
2012-07-26 01:29 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2012-07-26 01:29 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2012-07-26 01:29 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2012-07-26 01:29 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2012-07-26 01:29 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2012-07-26 01:29 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2012-07-26 01:29 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2012-07-26 01:29 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2012-07-26 01:29 . 2012-07-26 01:30 -------- d-----w- C:\3cb5adb7ed3f0b5e600a7a81e6
2012-07-25 21:43 . 2012-07-25 21:43 -------- d-----w- c:\documents and settings\Thierry\Application Data\f-secure
2012-07-25 21:42 . 2012-07-25 21:42 -------- d-----w- c:\documents and settings\All Users\Application Data\F-Secure
2012-07-25 21:19 . 2012-07-25 21:19 -------- d-----w- c:\windows\Sun
2012-07-25 21:19 . 2012-07-25 21:19 -------- d-----w- c:\documents and settings\Thierry\Local Settings\Application Data\Sun
2012-07-25 21:16 . 2012-07-05 20:06 687544 ----a-w- c:\windows\system32\deployJava1.dll
2012-07-25 21:15 . 2012-07-05 20:06 772544 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-07-25 21:13 . 2012-07-26 00:23 -------- d-----w- c:\program files\Java
2012-07-25 19:02 . 2012-07-25 19:02 -------- d-----w- c:\documents and settings\Thierry\Local Settings\Application Data\PCHealth
2012-07-25 02:32 . 2012-07-25 02:32 -------- d-----w- c:\windows\system32\NtmsData
2012-07-24 22:33 . 2012-07-24 22:39 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-24 22:33 . 2012-07-24 22:39 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-24 22:00 . 2012-07-24 22:00 -------- d--h--w- c:\windows\system32\GroupPolicy
2012-07-24 12:07 . 2012-07-24 21:14 -------- d-----w- c:\windows\system32\Macromed
2012-07-24 09:49 . 2012-07-24 11:46 -------- d-----w- c:\program files\Enigma Software Group
2012-07-24 09:46 . 2012-07-24 11:45 -------- d-----w- c:\windows\CC1F6DA021D2425AB1B65B164A598450.TMP
2012-07-24 09:45 . 2012-07-24 09:45 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2012-07-23 23:05 . 2012-08-22 15:44 -------- d-----w- c:\program files\VS Revo Group
2012-07-23 22:55 . 2012-07-23 23:04 -------- d-----w- c:\documents and settings\Thierry\Application Data\GlarySoft
2012-07-23 22:55 . 2012-07-26 23:42 -------- d-----w- c:\program files\Glary Utilities
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-06 13:59 . 2011-06-21 13:39 78336 ----a-w- c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-06-21 11:02 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:27 . 2011-06-21 13:45 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-07-03 15:00 . 2011-06-21 13:39 832512 ----a-w- c:\windows\system32\wininet.dll
2012-07-03 15:00 . 2011-06-21 13:42 1830912 ------w- c:\windows\system32\inetcpl.cpl
2012-07-03 15:00 . 2011-06-21 13:41 78336 ----a-w- c:\windows\system32\ieencode.dll
2012-07-03 15:00 . 2011-06-21 13:39 17408 ----a-w- c:\windows\system32\corpol.dll
2012-06-05 15:50 . 2011-06-22 07:34 1372672 ------w- c:\windows\system32\msxml6.dll
2012-06-05 15:50 . 2011-06-21 13:43 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 15:35 . 2011-06-21 14:16 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-04 04:32 . 2011-06-21 13:44 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-08-06 17:24 16408 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2011-06-21 14:16 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2011-06-21 14:16 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2011-06-21 14:16 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2011-06-21 13:39 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2011-06-21 11:02 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 17:24 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24 19480 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24 16408 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2011-06-21 14:16 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2011-06-21 11:02 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2009-08-06 17:23 25112 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-05-31 13:22 . 2011-06-21 13:40 606208 ----a-w- c:\windows\system32\crypt32.dll
2012-06-16 00:06 . 2012-01-27 22:33 85472 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2009-12-11 59936]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-06 354840]
"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-07-06 96792]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igdlogin]
2009-06-25 05:13 65536 ----a-w- c:\windows\system32\igdlogin.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
R3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [22/06/2011 12:41 5097632]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [22/06/2011 12:50 164864]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Thierry\Application Data\Mozilla\Firefox\Profiles\n6k0kwx6.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir Desktop\avgnt.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-08-22 22:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(932)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Heure de fin: 2012-08-22 22:57:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-22 20:57
.
Avant-CF: 107 529 494 528 octets libres
Après-CF: 107 915 993 088 octets libres
.
- - End Of File - - 683DCB7C17057193852EA3C08FCF8146
J'ai eu un peu de mal à combofixer. Dans un premier temps l'écran restait désespérément vide. Après un autre essai, il ne s'est rien passé. Au troisième le programme s'est lancé et m'a averti que la protection résidente de Antivir était toujours active alors que je l'avais désactivée. Du coup j'ai tout désinstallé (après avoir téléchargé un autre antivirus quand même). Après quelques autres essais infructueux, combofix a fini par s'ébrouer. Je te colle son oracle ci-essous:
---
ComboFix 12-08-22.03 - Thierry 22/08/2012 22:32:50.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.641 [GMT 2:00]
Lancé depuis: c:\documents and settings\Thierry\Bureau\Combo.exe
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\$NtUninstallKB45428$
c:\windows\$NtUninstallKB45428$\3041854523\@
c:\windows\$NtUninstallKB45428$\3041854523\Desktop.ini
c:\windows\$NtUninstallKB45428$\3041854523\L\00000004.@
c:\windows\$NtUninstallKB45428$\3041854523\L\201d3dde
c:\windows\$NtUninstallKB45428$\3041854523\L\bemorzll
c:\windows\$NtUninstallKB45428$\3041854523\U\00000004.@
c:\windows\$NtUninstallKB45428$\3041854523\U\00000008.@
c:\windows\$NtUninstallKB45428$\3041854523\U\000000cb.@
c:\windows\$NtUninstallKB45428$\3041854523\U\80000000.@
c:\windows\$NtUninstallKB45428$\3041854523\U\80000032.@
c:\windows\$NtUninstallKB45428$\3043439624
c:\windows\system32\SET70.tmp
c:\windows\system32\SET74.tmp
c:\windows\system32\SET7C.tmp
c:\windows\system32\SETC5.tmp
.
Une copie infectée de c:\windows\system32\drivers\mrxsmb.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-22 au 2012-08-22 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-22 20:26 . 2011-07-15 13:29 456320 -c--a-w- c:\windows\system32\dllcache\mrxsmb.sys
2012-08-22 20:26 . 2011-07-15 13:29 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2012-08-22 11:20 . 2012-08-22 11:20 -------- d-----w- c:\documents and settings\LocalService\Application Data\Haihaisoft PDF Reader
2012-07-26 12:03 . 2012-07-26 12:03 -------- d-----w- c:\documents and settings\Administrateur
2012-07-26 01:32 . 2012-08-22 19:40 -------- d-----w- c:\windows\system32\XPSViewer
2012-07-26 01:31 . 2012-07-26 01:31 -------- d-----w- c:\program files\MSBuild
2012-07-26 01:31 . 2012-07-26 01:31 -------- d-----w- c:\program files\Reference Assemblies
2012-07-26 01:29 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2012-07-26 01:29 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2012-07-26 01:29 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2012-07-26 01:29 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2012-07-26 01:29 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2012-07-26 01:29 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2012-07-26 01:29 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2012-07-26 01:29 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2012-07-26 01:29 . 2012-07-26 01:30 -------- d-----w- C:\3cb5adb7ed3f0b5e600a7a81e6
2012-07-25 21:43 . 2012-07-25 21:43 -------- d-----w- c:\documents and settings\Thierry\Application Data\f-secure
2012-07-25 21:42 . 2012-07-25 21:42 -------- d-----w- c:\documents and settings\All Users\Application Data\F-Secure
2012-07-25 21:19 . 2012-07-25 21:19 -------- d-----w- c:\windows\Sun
2012-07-25 21:19 . 2012-07-25 21:19 -------- d-----w- c:\documents and settings\Thierry\Local Settings\Application Data\Sun
2012-07-25 21:16 . 2012-07-05 20:06 687544 ----a-w- c:\windows\system32\deployJava1.dll
2012-07-25 21:15 . 2012-07-05 20:06 772544 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-07-25 21:13 . 2012-07-26 00:23 -------- d-----w- c:\program files\Java
2012-07-25 19:02 . 2012-07-25 19:02 -------- d-----w- c:\documents and settings\Thierry\Local Settings\Application Data\PCHealth
2012-07-25 02:32 . 2012-07-25 02:32 -------- d-----w- c:\windows\system32\NtmsData
2012-07-24 22:33 . 2012-07-24 22:39 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-24 22:33 . 2012-07-24 22:39 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-24 22:00 . 2012-07-24 22:00 -------- d--h--w- c:\windows\system32\GroupPolicy
2012-07-24 12:07 . 2012-07-24 21:14 -------- d-----w- c:\windows\system32\Macromed
2012-07-24 09:49 . 2012-07-24 11:46 -------- d-----w- c:\program files\Enigma Software Group
2012-07-24 09:46 . 2012-07-24 11:45 -------- d-----w- c:\windows\CC1F6DA021D2425AB1B65B164A598450.TMP
2012-07-24 09:45 . 2012-07-24 09:45 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2012-07-23 23:05 . 2012-08-22 15:44 -------- d-----w- c:\program files\VS Revo Group
2012-07-23 22:55 . 2012-07-23 23:04 -------- d-----w- c:\documents and settings\Thierry\Application Data\GlarySoft
2012-07-23 22:55 . 2012-07-26 23:42 -------- d-----w- c:\program files\Glary Utilities
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-06 13:59 . 2011-06-21 13:39 78336 ----a-w- c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-06-21 11:02 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:27 . 2011-06-21 13:45 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-07-03 15:00 . 2011-06-21 13:39 832512 ----a-w- c:\windows\system32\wininet.dll
2012-07-03 15:00 . 2011-06-21 13:42 1830912 ------w- c:\windows\system32\inetcpl.cpl
2012-07-03 15:00 . 2011-06-21 13:41 78336 ----a-w- c:\windows\system32\ieencode.dll
2012-07-03 15:00 . 2011-06-21 13:39 17408 ----a-w- c:\windows\system32\corpol.dll
2012-06-05 15:50 . 2011-06-22 07:34 1372672 ------w- c:\windows\system32\msxml6.dll
2012-06-05 15:50 . 2011-06-21 13:43 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 15:35 . 2011-06-21 14:16 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-04 04:32 . 2011-06-21 13:44 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-08-06 17:24 16408 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2011-06-21 14:16 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2011-06-21 14:16 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2011-06-21 14:16 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2011-06-21 13:39 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2011-06-21 11:02 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 17:24 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24 19480 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24 16408 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2011-06-21 14:16 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2011-06-21 11:02 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2009-08-06 17:23 25112 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-05-31 13:22 . 2011-06-21 13:40 606208 ----a-w- c:\windows\system32\crypt32.dll
2012-06-16 00:06 . 2012-01-27 22:33 85472 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2009-12-11 59936]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-06 354840]
"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-07-06 96792]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igdlogin]
2009-06-25 05:13 65536 ----a-w- c:\windows\system32\igdlogin.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
R3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [22/06/2011 12:41 5097632]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [22/06/2011 12:50 164864]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Thierry\Application Data\Mozilla\Firefox\Profiles\n6k0kwx6.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir Desktop\avgnt.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-08-22 22:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(932)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Heure de fin: 2012-08-22 22:57:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-22 20:57
.
Avant-CF: 107 529 494 528 octets libres
Après-CF: 107 915 993 088 octets libres
.
- - End Of File - - 683DCB7C17057193852EA3C08FCF8146
Rebonjour,
Ci-dessous le lien du rapport pré-scan.
https://pjjoint.malekal.com/files.php?id=20120823_j15l14l14v5p12
Merci pour ton aide.
Thierry
Ci-dessous le lien du rapport pré-scan.
https://pjjoint.malekal.com/files.php?id=20120823_j15l14l14v5p12
Merci pour ton aide.
Thierry
rapport adw:
----
# AdwCleaner v1.801 - Rapport créé le 23/08/2012 à 21:54:25
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thierry - 6MN7JOYSRVFEKHB
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Thierry\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Registre - GUID] *****
***** [Navigateurs] *****
-\\ Internet Explorer v7.0.5730.13
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v13.0.1 (fr)
Nom du profil : default
Fichier : C:\Documents and Settings\Thierry\Application Data\Mozilla\Firefox\Profiles\n6k0kwx6.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [898 octets] - [23/08/2012 21:54:25]
########## EOF - C:\AdwCleaner[S1].txt - [1025 octets] ##########
----
# AdwCleaner v1.801 - Rapport créé le 23/08/2012 à 21:54:25
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thierry - 6MN7JOYSRVFEKHB
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Thierry\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Registre - GUID] *****
***** [Navigateurs] *****
-\\ Internet Explorer v7.0.5730.13
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v13.0.1 (fr)
Nom du profil : default
Fichier : C:\Documents and Settings\Thierry\Application Data\Mozilla\Firefox\Profiles\n6k0kwx6.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [898 octets] - [23/08/2012 21:54:25]
########## EOF - C:\AdwCleaner[S1].txt - [1025 octets] ##########
Non, je l'ai lancé, choisi suppression; le programme a effectué un redémarrage et publié ce rapport. Tu veux que je recommence?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
rapport MAM ci-dessous
-----
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.08.23.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Thierry :: 6MN7JOYSRVFEKHB [administrateur]
23/08/2012 22:23:19
mbam-log-2012-08-23 (22-23-19).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 221498
Temps écoulé: 30 minute(s), 16 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Documents and Settings\Thierry\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
-----
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.08.23.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Thierry :: 6MN7JOYSRVFEKHB [administrateur]
23/08/2012 22:23:19
mbam-log-2012-08-23 (22-23-19).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 221498
Temps écoulé: 30 minute(s), 16 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Documents and Settings\Thierry\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
A noter que pendant le scan de MAM, AVAST a identifié et placé en qurantaine le fichier mrxsmb.sys.vir décrit comme win32:Rootkit-Gen et originalement placé dans c/qoobox/quarantine/...
sinon pas de soucis dans le fonctionnement du PC qui a regagné vigueur et vitesse!
Si les inquiétudes d'Avast ne t'inquiètent pas, il me reste à te remercier chaleureusement pour ton intervention.
Thierry
Si les inquiétudes d'Avast ne t'inquiètent pas, il me reste à te remercier chaleureusement pour ton intervention.
Thierry
Pendant que la défragmentation se poursuit, je te livre les résultats de cette radicale tornade blanche:
PureRa
-----
Total space cleaned: 316.94 MB
Delfix
-----
# DelFix v8.9 - Rapport créé le 24/08/2012 à 10:04:58
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thierry - 6MN7JOYSRVFEKHB (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Thierry\Bureau\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\Documents and Settings\Thierry\Bureau\Combo.exe <-- Combofix
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Documents and Settings\Thierry\Bureau\JavaRa.def
Supprimé : C:\Documents and Settings\Thierry\Bureau\JavaRa.exe
Supprimé : C:\Documents and Settings\Thierry\Bureau\JavaRa.zip
Supprimé : C:\Documents and Settings\Thierry\Bureau\Pre_Scan_23_08_2012_20_37_51.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1486 octets] - [24/08/2012 10:04:58]
########## EOF - C:\DelFix[S1].txt - [1610 octets] ##########
PureRa
-----
Total space cleaned: 316.94 MB
Delfix
-----
# DelFix v8.9 - Rapport créé le 24/08/2012 à 10:04:58
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thierry - 6MN7JOYSRVFEKHB (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Thierry\Bureau\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\Documents and Settings\Thierry\Bureau\Combo.exe <-- Combofix
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Documents and Settings\Thierry\Bureau\JavaRa.def
Supprimé : C:\Documents and Settings\Thierry\Bureau\JavaRa.exe
Supprimé : C:\Documents and Settings\Thierry\Bureau\JavaRa.zip
Supprimé : C:\Documents and Settings\Thierry\Bureau\Pre_Scan_23_08_2012_20_37_51.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1486 octets] - [24/08/2012 10:04:58]
########## EOF - C:\DelFix[S1].txt - [1610 octets] ##########
Plutôt que de faciles et lointains remerciements, j'ai décidé de te rendre hommage en créant un point de restauration à ton nom. Bon, s'agissant d'un matériel acer, il ne faut pas s'attendre à ce que la postérité dure longtemps, mais quand même...
sur mon ultra portable, j'ai changé en 2 ans :
- l'alimentation;
- le clavier (2 fois);
- le disque dur.
Pour être juste, il faut aussi convenr que j'ai acheté un Dell de bureau dont la carte mère a déclaré forfait après 3 semaines.
Il faut croire que c'est mon déodorant qui n'aime pas la technologie.
- l'alimentation;
- le clavier (2 fois);
- le disque dur.
Pour être juste, il faut aussi convenr que j'ai acheté un Dell de bureau dont la carte mère a déclaré forfait après 3 semaines.
Il faut croire que c'est mon déodorant qui n'aime pas la technologie.
salut
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur
clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur
clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
ne prends pas d'initiatives sans m'en parler tant que "j'ai ton pc dans les mains"
====
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
====
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste son rapport.
ADWCleaner (Merci à Xplode)
Lance le,
(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste son rapport.
non
<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)