Sujet Précédent Sujet Suivant

Infecté ou pas ?

Fermé
Daivernon - 8 mars 2007 à 15:44
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 9 mars 2007 à 00:28
Bonjour à tous
Etant novice en informatique j'aimerais avoir quelques precisions concernant mon gestionnaire de programmes:en effet j'ai constaté la presence de 2 processus IEXPLORE.exe (j'ai au passage remarqué que d'autres avaient eu le meme probleme que moi mais je ne m'en suis pas sorti avec les explications).De plus avast m'indique :Sign of "Win32:Rbot-CXU [Trj]" has been found in "C:\WINDOWS\System32\.exe" file.
Alors bien que ne trouvant rien de suspect avec AdAware mis à jour je me pose des questions

Je tourne sous XP
antivirus:avast mis à jour quasi quotidiennement
parefeu:kerio personal 4

Merci d'avance pour votre aide
Cordialement

38 réponses

  • 1
  • 2
Réponse 1 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 15:56
bonjour, 
"C:\WINDOWS\System32\.exe" file.


justement c'est quoi l'exe ?

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

0
Réponse 2 / 38
Daivernon
8 mars 2007 à 16:00
Merci de m'avoir repondu aussi vite. Pour le .exe je ne sais pas vraiment comment en savoir plus c'est l'unique message que j'ai observé dans le journal d'avast...
Comme demandé je vous poste le rapport

Logfile of HijackThis v1.99.1
Scan saved at 15:58:33, on 08/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Alain\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Byte proc else jump] C:\Documents and Settings\All Users\Application Data\ford slow byte proc\infoonce.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [tonsbin] C:\DOCUME~1\Alain\APPLIC~1\greyeach\Itch New.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AD2CACC-D651-4AC3-9C20-0D06375EA9AF}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


Merci à vous
Cordialement
0
Réponse 3 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 16:01
ok,

apparemment tu es infecté par LOP

* Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/lopxpMH2.zip


* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.



0
Xzr Messages postés 41 Date d'inscription jeudi 15 février 2007 Statut Membre Dernière intervention 10 novembre 2007
8 mars 2007 à 16:04
Salut tout le monde !

question pour confirmation de mon analyse :)

O4 - HKCU\..\Run: [tonsbin] C:\DOCUME~1\Alain\APPLIC~1\greyeach\Itch New.exe

c'est cette ligne qui te fait penser à Lop ?
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206 > Xzr Messages postés 41 Date d'inscription jeudi 15 février 2007 Statut Membre Dernière intervention 10 novembre 2007
8 mars 2007 à 16:09
bonjour,

oui et celle ci également

O4 - HKLM\..\Run: [Byte proc else jump] C:\Documents and Settings\All Users\Application Data\ford slow byte proc\infoonce.exe

avec les noms ça fait déclic tout de suite :)
0
Daivernon > philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009
8 mars 2007 à 16:12
Bon meme si je fais l'hypothese que vous travaillez dans le secteur de l'informatique c'est assez impressionnant quand on n'y connait quasiment rien de trouver une ligne plus douteuse qu'une autre ds ces log
Merci à vous en tout cas
0
Xzr Messages postés 41 Date d'inscription jeudi 15 février 2007 Statut Membre Dernière intervention 10 novembre 2007 > philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009
8 mars 2007 à 16:18
merci. :)
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206 > Daivernon
8 mars 2007 à 16:21
mauvaise hypothèse, je suis femme au foyer :)
jamais travaillé de ma vie dans l'informatique, tout appris toute seule et sur les forums. Néanmoins c'est une question d'habitude, et tout s'apprend


0
Réponse 4 / 38
Daivernon
8 mars 2007 à 16:04
Voilà le rapport pour le programme que vous m'avez conseillé

Rapport fait à 16:03:36,54 le 08/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Alain\Application Data

08/02/2007 14:29 <REP> .
08/02/2007 14:29 <REP> ..
12/02/2007 18:43 <REP> Adobe
16/02/2007 16:38 <REP> AdobeUM
24/02/2007 00:40 <REP> BitDownload
16/02/2007 18:18 <REP> BSplayer Pro
24/02/2007 00:40 <REP> greyeach
08/02/2007 16:21 <REP> Help
08/02/2007 14:29 <REP> Identities
08/02/2007 14:46 <REP> Lavasoft
08/02/2007 21:01 <REP> Macromedia
08/02/2007 15:12 <REP> Media Player Classic
08/02/2007 14:29 <REP> Microsoft
15/02/2007 20:55 <REP> Microsoft Web Folders
08/02/2007 18:08 <REP> Mozilla
04/03/2007 17:51 <REP> ppStream
08/02/2007 15:11 <REP> Real
08/02/2007 20:04 <REP> Skype
26/02/2007 13:23 <REP> Sun
08/02/2007 14:57 <REP> Vso
08/02/2007 14:29 62 desktop.ini
08/02/2007 14:57 81ÿ920 ezpinst.exe
08/02/2007 14:57 7ÿ176 pcouffin.cat
08/02/2007 14:57 1ÿ144 pcouffin.inf
08/02/2007 14:57 34 pcouffin.log
08/02/2007 14:57 47ÿ360 pcouffin.sys
6 fichier(s) 137ÿ696 octets
20 R‚p(s) 6ÿ259ÿ494ÿ912 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Alain\Local Settings\Application Data

08/02/2007 14:29 <REP> .
08/02/2007 14:29 <REP> ..
12/02/2007 18:43 <REP> Adobe
08/03/2007 10:27 <REP> Ahead
26/02/2007 13:08 <REP> Apple Computer
08/02/2007 16:21 <REP> Help
11/02/2007 18:19 <REP> Identities
09/02/2007 12:01 <REP> Logitech-LS
08/02/2007 14:29 <REP> Microsoft
08/02/2007 18:08 <REP> Mozilla
08/02/2007 14:55 20ÿ992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08/02/2007 14:33 4ÿ809ÿ422 IconCache.db
2 fichier(s) 4ÿ830ÿ414 octets
10 R‚p(s) 6ÿ259ÿ494ÿ912 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\All Users\Application Data

08/02/2007 14:14 <REP> .
08/02/2007 14:14 <REP> ..
12/02/2007 18:42 <REP> Adobe
08/02/2007 15:12 <REP> Apple Computer
24/02/2007 00:41 <REP> ford slow byte proc
08/02/2007 14:14 <REP> Microsoft
08/02/2007 15:11 <REP> Real
08/02/2007 20:04 <REP> Skype
08/02/2007 14:15 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 6ÿ259ÿ494ÿ912 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/02/2007 14:14 <REP> .
08/02/2007 14:14 <REP> ..
08/02/2007 14:14 <REP> Microsoft
08/02/2007 14:15 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 6ÿ259ÿ490ÿ816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

08/02/2007 14:15 <REP> .
08/02/2007 14:15 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 6ÿ259ÿ490ÿ816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

08/02/2007 14:27 <REP> .
08/02/2007 14:27 <REP> ..
08/02/2007 14:27 <REP> Microsoft
08/02/2007 14:27 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

08/02/2007 14:27 <REP> .
08/02/2007 14:27 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\WINDOWS\Tasks

28/02/2007 19:08 266 AE5A9252918502CA.job
08/02/2007 14:25 6 SA.DAT
08/02/2007 14:23 65 desktop.ini
08/02/2007 14:23 <REP> ..
08/02/2007 14:23 <REP> .
3 fichier(s) 337 octets
2 R‚p(s) 6ÿ259ÿ486ÿ720 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Program Files

08/03/2007 10:22 <REP> .
08/03/2007 10:22 <REP> ..
08/02/2007 15:17 <REP> 3ivx
12/02/2007 18:40 <REP> Adobe
08/02/2007 14:49 <REP> Ahead
08/02/2007 16:15 <REP> Alcatel
08/02/2007 14:39 <REP> Alwil Software
08/02/2007 15:21 <REP> AnmSMP
12/02/2007 00:21 <REP> BitLord
08/03/2007 10:11 <REP> CDex
08/02/2007 14:22 <REP> ComPlus Applications
09/02/2007 23:52 <REP> Creative
26/02/2007 13:19 <REP> Fichiers communs
08/02/2007 14:24 <REP> Internet Explorer
08/02/2007 15:01 <REP> IrfanView
26/02/2007 13:22 <REP> Java
08/02/2007 16:15 <REP> JavaSoft
08/02/2007 19:05 <REP> Lavalys
26/02/2007 12:38 <REP> Lavasoft
08/02/2007 20:47 <REP> Logitech
08/02/2007 15:12 <REP> Media Player Classic
08/02/2007 16:14 <REP> Messager Wanadoo
08/02/2007 14:21 <REP> Messenger
15/02/2007 20:55 <REP> microsoft frontpage
15/02/2007 20:55 <REP> Microsoft Office
15/02/2007 20:58 <REP> Microsoft Visual Studio
08/02/2007 14:23 <REP> Movie Maker
08/03/2007 15:17 <REP> Mozilla Firefox
08/02/2007 14:21 <REP> MSN
08/02/2007 14:21 <REP> MSN Gaming Zone
11/02/2007 19:03 <REP> MSN Messenger
08/02/2007 14:23 <REP> NetMeeting
08/02/2007 14:23 <REP> Outlook Express
08/02/2007 15:12 <REP> QuickTime Alternative
08/02/2007 15:12 <REP> Real Alternative
08/02/2007 14:21 <REP> Services en ligne
13/02/2007 21:51 <REP> Shareaza
08/02/2007 15:04 <REP> Skype
06/03/2007 11:59 <REP> SpywareBlaster
08/02/2007 14:33 <REP> Sunbelt Software
08/02/2007 19:28 <REP> VIA
08/02/2007 14:57 <REP> VSO
08/03/2007 15:16 <REP> Wanadoo
16/02/2007 18:18 <REP> Webteh
23/02/2007 17:05 <REP> Winamp
09/02/2007 23:50 <REP> Windows Media Player
08/02/2007 14:21 <REP> Windows NT
08/02/2007 14:56 <REP> WinRAR
08/02/2007 14:25 <REP> xerox
08/02/2007 15:18 <REP> XviD
0 fichier(s) 0 octets
50 R‚p(s) 6ÿ259ÿ482ÿ624 octets libres

******************************************
## Popups autorisées

* Internet Explorer

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\ALAIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\YOXV5V1F.DEFAULT\HOSTPERM.1
host cookie 2 popuptraffic.com
host cookie 2 popupsponsor.com
host cookie 2 paypopup.com
host popup 1 www.infos-du-net.com
host popup 1 www.wyclef.com

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Byte proc else jump REG_SZ C:\Documents and Settings\All Users\Application Data\ford slow byte proc\infoonce.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tonsbin REG_SZ C:\DOCUME~1\Alain\APPLIC~1\greyeach\Itch New.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 16:10
ok merci,

je te prépare les manips, retour dans un petit moment
0
Réponse 6 / 38
Daivernon
8 mars 2007 à 16:13
Tres bien encore merci
ps:pour les manip faudra peut etre pas trop m'en vouloir si je pige pas tout tres vite ;-)
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 16:22
d'autres y sont arrivés, tu y arriveras t'en fait pas :)
0
Réponse 7 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 16:16
re



Note comment démarrer en mode sans échec

https://docs.microsoft.com/en-us/?mfr=true


1* Télécharge : - CCleaner
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

* Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Byte proc else jump"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tonsbin"=-



Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"


*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\All Users\Application Data\ford slow byte proc
C:\Documents and Settings\Alain\Application Data\greyeach

/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

del /a C:\WINDOWS\Tasks\AE5A9252918502CA.job



valide par entrée, puis ferme la fenêtre de commande.

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
0
Réponse 8 / 38
Daivernon
8 mars 2007 à 16:33
Bon et bien c'est parti je vous tiens au courant
Au passage dois je passer un coup de cleaner avant de redemarrer en mode sans echec?
Et juste pour info en mode sans echec j'aurais bien entendu acces au fichier texte que vous m'avez dit de creer? (en mm temps sinon je suis dans la panade donc je suppose que oui)

Cordialement
0
Réponse 9 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 16:52 
Et juste pour info en mode sans echec j'aurais bien entendu acces au fichier texte que vous m'avez dit de creer? (en mm temps sinon je suis dans la panade donc je suppose que oui)


bien sûr en MSE tu peux utiliser les fichiers .txt

et oui tu peux passer Ccleaner, ca ne fera pas de mal

0
Réponse 10 / 38
D
8 mars 2007 à 16:56
Alors voilà je pense avoir tout (bien) fait ce que vous m'avez preconisé je pense en resultat le rapport de hijakthis

Logfile of HijackThis v1.99.1
Scan saved at 16:52:55, on 08/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\Alain\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Byte proc else jump] C:\Documents and Settings\All Users\Application Data\ford slow byte proc\infoonce.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [tonsbin] C:\DOCUME~1\Alain\APPLIC~1\greyeach\Itch New.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 11 / 38
Daivernon
8 mars 2007 à 16:57
désolé mon pseudo est pas passé mais c'est bien moi ;-)
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 17:16
ok,

mais le rapport montre toujours LOP

0
Réponse 12 / 38
Daivernon
8 mars 2007 à 17:05
Si jamais il s'avere que le probleme est résolu sauriez vous à tout hasard la cause, ou plutot où se trouve la faille plutot sur mon antivirus ou sur le pare feu (ou aurais je recuperer ce fameux lop lors d'un telechargement?)

Cordialement
0
Réponse 13 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 17:17
justement le problème n'est pas résolu, quelque chose a du clocher qq part, reposte un rapport lopxpMH stp que je regarde
0
Réponse 14 / 38
Daivernon
8 mars 2007 à 17:17
ah donc c'est pas bon c'est ca?
par contre j'ai remarqué ds mon gestionnaire de programmes que les 2processus IEXPLORE.exe avaient bien disparu c'est déjà un bon point non?
0
Réponse 15 / 38
Daivernon
8 mars 2007 à 17:19
Voilà

Rapport fait à 17:18:34,78 le 08/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Alain\Application Data

08/02/2007 14:29 <REP> .
08/02/2007 14:29 <REP> ..
12/02/2007 18:43 <REP> Adobe
16/02/2007 16:38 <REP> AdobeUM
24/02/2007 00:40 <REP> BitDownload
16/02/2007 18:18 <REP> BSplayer Pro
08/02/2007 16:21 <REP> Help
08/02/2007 14:29 <REP> Identities
08/02/2007 14:46 <REP> Lavasoft
08/02/2007 21:01 <REP> Macromedia
08/02/2007 15:12 <REP> Media Player Classic
08/02/2007 14:29 <REP> Microsoft
15/02/2007 20:55 <REP> Microsoft Web Folders
08/02/2007 18:08 <REP> Mozilla
04/03/2007 17:51 <REP> ppStream
08/02/2007 15:11 <REP> Real
08/02/2007 20:04 <REP> Skype
26/02/2007 13:23 <REP> Sun
08/02/2007 14:57 <REP> Vso
08/02/2007 14:29 62 desktop.ini
08/02/2007 14:57 81ÿ920 ezpinst.exe
08/02/2007 14:57 7ÿ176 pcouffin.cat
08/02/2007 14:57 1ÿ144 pcouffin.inf
08/02/2007 14:57 34 pcouffin.log
08/02/2007 14:57 47ÿ360 pcouffin.sys
6 fichier(s) 137ÿ696 octets
19 R‚p(s) 7ÿ217ÿ086ÿ464 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Alain\Local Settings\Application Data

08/02/2007 14:29 <REP> .
08/02/2007 14:29 <REP> ..
12/02/2007 18:43 <REP> Adobe
08/03/2007 10:27 <REP> Ahead
26/02/2007 13:08 <REP> Apple Computer
08/02/2007 16:21 <REP> Help
11/02/2007 18:19 <REP> Identities
09/02/2007 12:01 <REP> Logitech-LS
08/02/2007 14:29 <REP> Microsoft
08/02/2007 18:08 <REP> Mozilla
08/02/2007 14:55 20ÿ992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08/02/2007 14:33 3ÿ712ÿ656 IconCache.db
2 fichier(s) 3ÿ733ÿ648 octets
10 R‚p(s) 7ÿ217ÿ078ÿ272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\All Users\Application Data

08/02/2007 14:14 <REP> .
08/02/2007 14:14 <REP> ..
12/02/2007 18:42 <REP> Adobe
08/02/2007 15:12 <REP> Apple Computer
08/02/2007 14:14 <REP> Microsoft
08/02/2007 15:11 <REP> Real
08/02/2007 20:04 <REP> Skype
08/02/2007 14:15 62 desktop.ini
1 fichier(s) 62 octets
7 R‚p(s) 7ÿ217ÿ078ÿ272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/02/2007 14:14 <REP> .
08/02/2007 14:14 <REP> ..
08/02/2007 14:14 <REP> Microsoft
08/02/2007 14:15 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 7ÿ217ÿ078ÿ272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

08/02/2007 14:15 <REP> .
08/02/2007 14:15 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 7ÿ217ÿ078ÿ272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

08/02/2007 14:28 <REP> .
08/02/2007 14:28 <REP> ..
08/02/2007 14:28 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

08/02/2007 14:27 <REP> .
08/02/2007 14:27 <REP> ..
08/02/2007 14:27 <REP> Microsoft
08/02/2007 14:27 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

08/02/2007 14:27 <REP> .
08/02/2007 14:27 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\WINDOWS\Tasks

08/02/2007 14:25 6 SA.DAT
08/02/2007 14:23 65 desktop.ini
08/02/2007 14:23 <REP> ..
08/02/2007 14:23 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 7ÿ217ÿ074ÿ176 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2473-5170

R‚pertoire de C:\Program Files

08/03/2007 16:27 <REP> .
08/03/2007 16:27 <REP> ..
08/02/2007 15:17 <REP> 3ivx
12/02/2007 18:40 <REP> Adobe
08/02/2007 14:49 <REP> Ahead
08/02/2007 16:15 <REP> Alcatel
08/02/2007 14:39 <REP> Alwil Software
08/02/2007 15:21 <REP> AnmSMP
12/02/2007 00:21 <REP> BitLord
08/03/2007 16:27 <REP> CCleaner
08/03/2007 10:11 <REP> CDex
08/02/2007 14:22 <REP> ComPlus Applications
09/02/2007 23:52 <REP> Creative
26/02/2007 13:19 <REP> Fichiers communs
08/02/2007 14:24 <REP> Internet Explorer
08/02/2007 15:01 <REP> IrfanView
26/02/2007 13:22 <REP> Java
08/02/2007 16:15 <REP> JavaSoft
08/02/2007 19:05 <REP> Lavalys
26/02/2007 12:38 <REP> Lavasoft
08/02/2007 20:47 <REP> Logitech
08/02/2007 15:12 <REP> Media Player Classic
08/02/2007 16:14 <REP> Messager Wanadoo
08/02/2007 14:21 <REP> Messenger
15/02/2007 20:55 <REP> microsoft frontpage
15/02/2007 20:55 <REP> Microsoft Office
15/02/2007 20:58 <REP> Microsoft Visual Studio
08/02/2007 14:23 <REP> Movie Maker
08/03/2007 16:53 <REP> Mozilla Firefox
08/02/2007 14:21 <REP> MSN
08/02/2007 14:21 <REP> MSN Gaming Zone
11/02/2007 19:03 <REP> MSN Messenger
08/02/2007 14:23 <REP> NetMeeting
08/02/2007 14:23 <REP> Outlook Express
08/02/2007 15:12 <REP> QuickTime Alternative
08/02/2007 15:12 <REP> Real Alternative
08/02/2007 14:21 <REP> Services en ligne
13/02/2007 21:51 <REP> Shareaza
08/02/2007 15:04 <REP> Skype
06/03/2007 11:59 <REP> SpywareBlaster
08/02/2007 14:33 <REP> Sunbelt Software
08/02/2007 19:28 <REP> VIA
08/02/2007 14:57 <REP> VSO
08/03/2007 16:53 <REP> Wanadoo
16/02/2007 18:18 <REP> Webteh
23/02/2007 17:05 <REP> Winamp
09/02/2007 23:50 <REP> Windows Media Player
08/02/2007 14:21 <REP> Windows NT
08/02/2007 14:56 <REP> WinRAR
08/02/2007 14:25 <REP> xerox
08/02/2007 15:18 <REP> XviD
0 fichier(s) 0 octets
51 R‚p(s) 7ÿ217ÿ070ÿ080 octets libres

******************************************
## Popups autorisées

* Internet Explorer

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\ALAIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\YOXV5V1F.DEFAULT\HOSTPERM.1
host cookie 2 popuptraffic.com
host cookie 2 popupsponsor.com
host cookie 2 paypopup.com
host popup 1 www.infos-du-net.com
host popup 1 www.wyclef.com

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Byte proc else jump REG_SZ C:\Documents and Settings\All Users\Application Data\ford slow byte proc\infoonce.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tonsbin REG_SZ C:\DOCUME~1\Alain\APPLIC~1\greyeach\Itch New.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 16 / 38
Daivernon
8 mars 2007 à 17:34
Peut etre que le moment où ca a cloché c'est quand j'ai du copier et coller la ligne que vous m'aviez precisé sous DOS à savoir del /a C:\WINDOWS\Tasks\AE5A9252918502CA.job
En zffet le copier coller ne passant pas je l'ai recopié à la main mais j'ai pourtant verifié 3fois!!
Aie vais je m'en sortir?
0
Réponse 17 / 38
Daivernon
8 mars 2007 à 17:59
Personne pour me refiler un petit coup de main svp?
0
Réponse 18 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 21:01
mais oui je suis là, mais bon....j'ai aussi d'autres choses à faire chez moi :) 

que vous m'aviez precisé sous DOS à savoir del /a C:\WINDOWS\Tasks\AE5A9252918502CA.job
En zffet le copier coller ne passant pas je l'ai recopié à la main mais j'ai pourtant verifié 3fois!!


non cela a bien fonctionné, c'est le début qui n'a pas marché

ceci :
clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) : 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Byte proc else jump"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tonsbin"=-


es tu certain d'avoir bien copier coller dans le fichier texte, ce que je t'ai mis en cote, depuis REGEDIT4 jusqu'au - de la fin ??



0
Réponse 19 / 38
Daivernon
8 mars 2007 à 22:47
Y'a aucun probleme c'est déjà tres aimable d'accepter de s'occuper des problemes des autres je ne vous reproche rien bien au contraire :)
Pour le copier coller oui il me semblait l'avoir fait correctement mais puisque ca n'a pas fonctionné j'ai peut etre raté le - à la fin ou autre chose
Bon bah je retenterais tout ca
Je vous tiens au courant en repostant un log apres
Encore merci bonne fin de soiree
Cordialement
0
Réponse 20 / 38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mars 2007 à 22:52
y a pas de soucis, il faut refaire la manip sans la partie 

 / démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

del /a C:\WINDOWS\Tasks\AE5A9252918502CA.job

valide par entrée, puis ferme la fenêtre de commande.


puisque celle ci a fonctionné.

Tiens moi au courant à bientôt
0

Discussions similaires

Virus détecté
Koony -
MisteryBean -

6 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
mustapha
mustapha -
Ainillia -

1 réponse
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses