Alerte sécurité
hd34
-
papyber Messages postés 6430 Statut Contributeur sécurité -
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour à tous,
Depuis ce matin, mon antivirus (NOD32) m'affiche une fenêtre de menace détectée.
Voici la menace détectée:
Fichier: C:\WINDOWS\system32\mlJDutSJ.dll
Menace: Win32/Adware.virtuamonde application
Lorsque je clique sur "Supprimer", un nouveau message apparait:
Le fichier "C:\WINDOWS\system32\mlJDutSJ.dll" sera supprimé après le prochain redémarrage
Il y a une case "OK" sur laquelle je clique pour faire disparaître ce dernier message. Seulement voilà, la fenêtre d'alerte NOD32 revient immédiatement avec le même message.
J'ai bien éviemment redémarré mon PC à plusieurs reprises, mais rien n'y fait...
Quelqu'un pourrait-il m'aider à résoudre ce problème?
Merci d'avance.
Depuis ce matin, mon antivirus (NOD32) m'affiche une fenêtre de menace détectée.
Voici la menace détectée:
Fichier: C:\WINDOWS\system32\mlJDutSJ.dll
Menace: Win32/Adware.virtuamonde application
Lorsque je clique sur "Supprimer", un nouveau message apparait:
Le fichier "C:\WINDOWS\system32\mlJDutSJ.dll" sera supprimé après le prochain redémarrage
Il y a une case "OK" sur laquelle je clique pour faire disparaître ce dernier message. Seulement voilà, la fenêtre d'alerte NOD32 revient immédiatement avec le même message.
J'ai bien éviemment redémarré mon PC à plusieurs reprises, mais rien n'y fait...
Quelqu'un pourrait-il m'aider à résoudre ce problème?
Merci d'avance.
A voir également:
- Alerte sécurité
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Fausse alerte mcafee - Accueil - Piratage
- Fausse alerte connexion facebook - Guide
10 réponses
1/
télécharge et installe le logiciel Hijack This
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
2/
Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
3/
Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le, mets le à jour
4/
Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip
décompresse-le sur ton Bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton Bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
Choisis l'option 1 puis patiente
Poste le rapport obtenu
S’il te demande d’up loader un fichier, tu le fais…
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur
Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à Internet
1*
Lance CCleaner , nettoyeur, et supprime tout ce qu'il trouve
lance CCleaner erreur et répare ce qu'il trouve, accepte les sauvegardes
2*
Lance MalwareByte
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lance l'examen, supprime tout ce qu’il trouve
Clique sur Enregistrer le rapport et choisis ton Bureau
MalwareByte
ainsi qu'un Scan Hijack ThisThis.
télécharge et installe le logiciel Hijack This
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
2/
Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
3/
Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le, mets le à jour
4/
Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip
décompresse-le sur ton Bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton Bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
Choisis l'option 1 puis patiente
Poste le rapport obtenu
S’il te demande d’up loader un fichier, tu le fais…
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur
Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à Internet
1*
Lance CCleaner , nettoyeur, et supprime tout ce qu'il trouve
lance CCleaner erreur et répare ce qu'il trouve, accepte les sauvegardes
2*
Lance MalwareByte
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lance l'examen, supprime tout ce qu’il trouve
Clique sur Enregistrer le rapport et choisis ton Bureau
MalwareByte
ainsi qu'un Scan Hijack ThisThis.
1) Télécharge Malwarebytes' Anti-Malware.
*Télécharge et installe Malwarebyte's Anti-Malware
*https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
*A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
*Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
*Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
*Laisse les Mises à jour se télécharger
*** Referme le programme ***
2) Fait l'astuce pour booster la ram ici : http://ifrance.com/foxspm
3) Redémarre en "Mode sans échec"
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.
4) Scan avec Malwarebyte's Anti-Malware
*Lance Malwarebyte's Anti-Malware
*Puis vs dans l'onglet "Recherche" puis coche "Exécuter un examen complet" puis "Rechercher sélectionne tes disques durs" puis clique sur "Lancer l’examen"
*A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
*Suppression des éléments détectés >>>> clique sur Supprimer la sélection
*S'il t'es demandé de redémarrer >>> clique sur "Yes"
*--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.
*Télécharge et installe Malwarebyte's Anti-Malware
*https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
*A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
*Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
*Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
*Laisse les Mises à jour se télécharger
*** Referme le programme ***
2) Fait l'astuce pour booster la ram ici : http://ifrance.com/foxspm
3) Redémarre en "Mode sans échec"
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.
4) Scan avec Malwarebyte's Anti-Malware
*Lance Malwarebyte's Anti-Malware
*Puis vs dans l'onglet "Recherche" puis coche "Exécuter un examen complet" puis "Rechercher sélectionne tes disques durs" puis clique sur "Lancer l’examen"
*A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
*Suppression des éléments détectés >>>> clique sur Supprimer la sélection
*S'il t'es demandé de redémarrer >>> clique sur "Yes"
*--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.
Merci de vos réponse.
J'ai suivi, à la lettre, la procédure porposée par Papyber.
Malheureusement, le problème reste entier. J'ai toujours cette alerte de sécurité NOD32, et quel que soit le choix lors de la fermeture de celle-ci, elle se rouvre aussitôt.
Si quelqu'un a une autre solution, je suis preneur.
Voici les logs (désolé, je ne sais pas comment les mettre en mode citation):
Clean
19/06/2008 a 17:08:44,25
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
Highjackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:02, on 19/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4170F0F1-E09D-4689-A8CD-CE8EE612E98B} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AD91194F-AB20-432C-9508-E8BA30DB5427} - C:\WINDOWS\system32\mlJDutSJ.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {77E3B584-A383-4130-89FD-CD54BAA2C608} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: mlJDutSJ - C:\WINDOWS\SYSTEM32\mlJDutSJ.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'ai suivi, à la lettre, la procédure porposée par Papyber.
Malheureusement, le problème reste entier. J'ai toujours cette alerte de sécurité NOD32, et quel que soit le choix lors de la fermeture de celle-ci, elle se rouvre aussitôt.
Si quelqu'un a une autre solution, je suis preneur.
Voici les logs (désolé, je ne sais pas comment les mettre en mode citation):
Clean
19/06/2008 a 17:08:44,25
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
Highjackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:02, on 19/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4170F0F1-E09D-4689-A8CD-CE8EE612E98B} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AD91194F-AB20-432C-9508-E8BA30DB5427} - C:\WINDOWS\system32\mlJDutSJ.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {77E3B584-A383-4130-89FD-CD54BAA2C608} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: mlJDutSJ - C:\WINDOWS\SYSTEM32\mlJDutSJ.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
à demain pour la suite
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
à demain pour la suite
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour.
Merci de ta réponse et de ton aide.
Voici le log de ComboFix:
ComboFix 08-06-20.4 - mino 2008-06-21 11:28:54.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.606 [GMT 2:00]
Endroit: C:\Documents and Settings\mino\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\mino\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
* Création d'un nouveau point de restauration
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\dJjjmnnn.ini
C:\WINDOWS\system32\dJjjmnnn.ini2
C:\WINDOWS\system32\dqpqmago.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJDutSJ.dll
C:\WINDOWS\system32\nnnmjjJd.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-21 to 2008-06-21 ))))))))))))))))))))))))))))))))))))
.
2008-06-19 19:29 . 2008-06-19 19:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MumboJumbo
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Program Files\GameHouse
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\GameHouse
2008-06-19 19:28 . 2008-06-19 19:28 91,392 --a------ C:\WINDOWS\system32\ogamqpqd.dll
2008-06-19 19:19 . 2008-06-19 19:19 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-06-19 19:19 . 2008-06-19 19:19 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-06-19 19:19 . 2008-06-19 19:19 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-06-19 19:19 . 2008-06-19 19:19 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-06-19 17:09 . 2008-06-19 17:09 1,204,007 --a------ C:\upload_moi_2RH.tar.gz
2008-06-19 16:49 . 2008-06-19 16:49 <REP> d-------- C:\Program Files\Trend Micro
2008-06-19 16:40 . 2008-06-19 18:50 <REP> d-------- C:\Program Files\Yahoo!
2008-06-19 15:50 . 2008-06-19 15:50 29,312 --a------ C:\WINDOWS\system32\mlJDutSJ.Vdll
2008-06-19 15:50 . 2008-06-19 15:50 29,312 --a------ C:\WINDOWS\system32\mlJDutSJ.V00dll
2008-06-19 14:46 . 2008-06-19 14:46 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-06-19 14:41 . 2008-06-19 16:54 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\mino\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-19 14:41 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-19 14:21 . 2008-06-19 13:29 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-19 14:21 . 2008-02-07 13:25 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-19 14:21 . 2008-02-07 12:38 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-19 14:21 . 2008-06-19 14:21 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-19 14:12 . 2008-06-19 14:22 2,294 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-19 13:53 . 2004-08-05 14:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2008-06-19 13:51 . 2004-08-05 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-06-19 13:50 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-06-19 13:49 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-06-19 13:39 . 2004-08-05 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-06-19 12:52 . 2008-06-19 15:02 <REP> d-------- C:\Documents and Settings\mino\Application Data\Desktopicon
2008-06-19 12:47 . 2008-06-19 12:55 21,082 --a------ C:\WINDOWS\setupapi.old
2008-06-08 18:40 . 2008-06-15 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\U3
2008-05-23 13:54 . 2008-05-23 13:54 <REP> d-------- C:\EPSON
2008-05-23 13:54 . 2002-08-26 02:30 73,116 --a------ C:\WINDOWS\system32\EBPMON2.DLL
2008-05-23 13:54 . 2002-07-31 02:25 61,440 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-05-23 13:54 . 2000-06-07 01:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-05-23 13:54 . 2001-09-04 02:04 182 --a------ C:\WINDOWS\system32\EBPPORT.DAT
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 09:33 29,816,864 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-21 09:31 352,508 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-21 08:52 --------- d-----w C:\Program Files\Unlocker
2008-06-20 20:40 --------- d-----w C:\Program Files\DreamMail4
2008-06-20 17:10 --------- d-----w C:\Program Files\Eset
2008-06-19 17:01 --------- d-----w C:\Program Files\Google
2008-06-19 16:50 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-19 16:50 --------- d-----w C:\Program Files\Windows Live
2008-06-19 11:33 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-06-19 11:33 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-06-19 11:33 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-06-19 11:33 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-06-19 11:33 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-06-19 11:33 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-06-19 11:33 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-06-19 11:33 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2008-05-23 11:55 --------- d-----w C:\Program Files\epson
2008-05-05 15:06 --------- d-----w C:\Documents and Settings\mino\Application Data\AdobeUM
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 12:12 139264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 16:25 737369]
"PD0630 STISvc"="P0630Pin.dll" [2005-06-05 19:01 36864 C:\WINDOWS\system32\P0630Pin.dll]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-09-21 11:24 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2005-10-11 14:33 2807808 C:\WINDOWS\alcwzrd.exe]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-19 19:19 949376]
"9cdda6b4"="C:\WINDOWS\system32\ogamqpqd.dll" [2008-06-19 19:28 91392]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys [2005-06-06 03:44]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-06 15:30:00 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"
- C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 11:32:38
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ogamqpqd.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-21 11:35:36 - machine was rebooted [mino]
ComboFix-quarantined-files.txt 2008-06-21 09:35:28
ComboFix2.txt 2008-06-19 13:39:58
Pre-Run: 15,565,185,024 octets libres
Post-Run: 15,519,526,912 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
168 --- E O F --- 2008-06-19 16:22:37
Merci de ta réponse et de ton aide.
Voici le log de ComboFix:
ComboFix 08-06-20.4 - mino 2008-06-21 11:28:54.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.606 [GMT 2:00]
Endroit: C:\Documents and Settings\mino\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\mino\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
* Création d'un nouveau point de restauration
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\dJjjmnnn.ini
C:\WINDOWS\system32\dJjjmnnn.ini2
C:\WINDOWS\system32\dqpqmago.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJDutSJ.dll
C:\WINDOWS\system32\nnnmjjJd.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-21 to 2008-06-21 ))))))))))))))))))))))))))))))))))))
.
2008-06-19 19:29 . 2008-06-19 19:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MumboJumbo
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Program Files\GameHouse
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\GameHouse
2008-06-19 19:28 . 2008-06-19 19:28 91,392 --a------ C:\WINDOWS\system32\ogamqpqd.dll
2008-06-19 19:19 . 2008-06-19 19:19 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-06-19 19:19 . 2008-06-19 19:19 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-06-19 19:19 . 2008-06-19 19:19 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-06-19 19:19 . 2008-06-19 19:19 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-06-19 17:09 . 2008-06-19 17:09 1,204,007 --a------ C:\upload_moi_2RH.tar.gz
2008-06-19 16:49 . 2008-06-19 16:49 <REP> d-------- C:\Program Files\Trend Micro
2008-06-19 16:40 . 2008-06-19 18:50 <REP> d-------- C:\Program Files\Yahoo!
2008-06-19 15:50 . 2008-06-19 15:50 29,312 --a------ C:\WINDOWS\system32\mlJDutSJ.Vdll
2008-06-19 15:50 . 2008-06-19 15:50 29,312 --a------ C:\WINDOWS\system32\mlJDutSJ.V00dll
2008-06-19 14:46 . 2008-06-19 14:46 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-06-19 14:41 . 2008-06-19 16:54 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\mino\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-19 14:41 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-19 14:21 . 2008-06-19 13:29 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-19 14:21 . 2008-02-07 13:25 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-19 14:21 . 2008-02-07 12:38 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-19 14:21 . 2008-06-19 14:21 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-19 14:12 . 2008-06-19 14:22 2,294 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-19 13:53 . 2004-08-05 14:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2008-06-19 13:51 . 2004-08-05 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-06-19 13:50 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-06-19 13:49 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-06-19 13:39 . 2004-08-05 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-06-19 12:52 . 2008-06-19 15:02 <REP> d-------- C:\Documents and Settings\mino\Application Data\Desktopicon
2008-06-19 12:47 . 2008-06-19 12:55 21,082 --a------ C:\WINDOWS\setupapi.old
2008-06-08 18:40 . 2008-06-15 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\U3
2008-05-23 13:54 . 2008-05-23 13:54 <REP> d-------- C:\EPSON
2008-05-23 13:54 . 2002-08-26 02:30 73,116 --a------ C:\WINDOWS\system32\EBPMON2.DLL
2008-05-23 13:54 . 2002-07-31 02:25 61,440 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-05-23 13:54 . 2000-06-07 01:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-05-23 13:54 . 2001-09-04 02:04 182 --a------ C:\WINDOWS\system32\EBPPORT.DAT
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 09:33 29,816,864 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-21 09:31 352,508 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-21 08:52 --------- d-----w C:\Program Files\Unlocker
2008-06-20 20:40 --------- d-----w C:\Program Files\DreamMail4
2008-06-20 17:10 --------- d-----w C:\Program Files\Eset
2008-06-19 17:01 --------- d-----w C:\Program Files\Google
2008-06-19 16:50 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-19 16:50 --------- d-----w C:\Program Files\Windows Live
2008-06-19 11:33 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-06-19 11:33 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-06-19 11:33 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-06-19 11:33 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-06-19 11:33 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-06-19 11:33 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-06-19 11:33 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-06-19 11:33 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2008-05-23 11:55 --------- d-----w C:\Program Files\epson
2008-05-05 15:06 --------- d-----w C:\Documents and Settings\mino\Application Data\AdobeUM
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 12:12 139264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 16:25 737369]
"PD0630 STISvc"="P0630Pin.dll" [2005-06-05 19:01 36864 C:\WINDOWS\system32\P0630Pin.dll]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-09-21 11:24 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2005-10-11 14:33 2807808 C:\WINDOWS\alcwzrd.exe]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-19 19:19 949376]
"9cdda6b4"="C:\WINDOWS\system32\ogamqpqd.dll" [2008-06-19 19:28 91392]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys [2005-06-06 03:44]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-06 15:30:00 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"
- C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 11:32:38
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ogamqpqd.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-21 11:35:36 - machine was rebooted [mino]
ComboFix-quarantined-files.txt 2008-06-21 09:35:28
ComboFix2.txt 2008-06-19 13:39:58
Pre-Run: 15,565,185,024 octets libres
Post-Run: 15,519,526,912 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
168 --- E O F --- 2008-06-19 16:22:37
Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
NOTE: le Scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
On va te demander de télécharger des contrôles ActiveX, accepte.
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant
Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail.
Le Scan va commencer.
Reviens avec le rapport de Scan obtenu
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
File:: C:\WINDOWS\system32\ogamqpqd.dll C:\WINDOWS\system32\mlJDutSJ.Vdll C:\WINDOWS\system32\mlJDutSJ.V00dll C:\WINDOWS\system32\tmp.reg C:\WINDOWS\setupapi.old Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "9cdda6b4"=-
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
NOTE: le Scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
On va te demander de télécharger des contrôles ActiveX, accepte.
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant
Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail.
Le Scan va commencer.
Reviens avec le rapport de Scan obtenu
Bonsoir à tous. Désolé, mais j'étais absent durant tout le week-end.
J'en suis resté à la derniière manipulation que j'ai faite, et dont le apport à été posté ci-dessus.
Je n'ai pour l'instant plus le problème. J'attends donc quelques jours afin de voir ce que ça donne, afin de pouvoir classer le sujet comme résolu.
En attendant, je tiens à remercier les personnes qui m'o'nt aidé à résoudre ce problème.
Hd34
J'en suis resté à la derniière manipulation que j'ai faite, et dont le apport à été posté ci-dessus.
Je n'ai pour l'instant plus le problème. J'attends donc quelques jours afin de voir ce que ça donne, afin de pouvoir classer le sujet comme résolu.
En attendant, je tiens à remercier les personnes qui m'o'nt aidé à résoudre ce problème.
Hd34
Bonjour
Comme préconisé, j'ai effectué la manipulation indiquée dans le post 6.
Merci encore de votre aide.
Voici donc le log ComboFix:
ComboFix 08-06-20.4 - mino 2008-06-25 15:13:11.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.585 [GMT 2:00]
Endroit: C:\Documents and Settings\mino\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\mino\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active
FILE ::
C:\WINDOWS\setupapi.old
C:\WINDOWS\system32\mlJDutSJ.V00dll
C:\WINDOWS\system32\mlJDutSJ.Vdll
C:\WINDOWS\system32\ogamqpqd.dll
C:\WINDOWS\system32\tmp.reg
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\setupapi.old
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJDutSJ.V00dll
C:\WINDOWS\system32\mlJDutSJ.Vdll
C:\WINDOWS\system32\ogamqpqd.dll
C:\WINDOWS\system32\tmp.reg
.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-25 to 2008-06-25 ))))))))))))))))))))))))))))))))))))
.
2008-06-21 11:34 . 2008-06-25 15:13 1,074 ---hs---- C:\WINDOWS\system32\dqpqmago.ini
2008-06-19 19:29 . 2008-06-19 19:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MumboJumbo
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Program Files\GameHouse
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\GameHouse
2008-06-19 19:19 . 2008-06-19 19:19 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-06-19 19:19 . 2008-06-19 19:19 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-06-19 19:19 . 2008-06-19 19:19 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-06-19 19:19 . 2008-06-19 19:19 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-06-19 17:09 . 2008-06-19 17:09 1,204,007 --a------ C:\upload_moi_2RH.tar.gz
2008-06-19 16:49 . 2008-06-19 16:49 <REP> d-------- C:\Program Files\Trend Micro
2008-06-19 16:40 . 2008-06-19 18:50 <REP> d-------- C:\Program Files\Yahoo!
2008-06-19 14:46 . 2008-06-19 14:46 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-06-19 14:41 . 2008-06-19 16:54 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\mino\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-19 14:41 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-19 14:21 . 2008-06-19 13:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-19 14:21 . 2008-02-07 13:25 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-19 14:21 . 2008-02-07 12:38 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-19 14:21 . 2008-06-19 14:21 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-19 13:53 . 2004-08-05 14:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2008-06-19 13:51 . 2004-08-05 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-06-19 13:50 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-06-19 13:49 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-06-19 13:39 . 2004-08-05 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-06-19 12:52 . 2008-06-19 15:02 <REP> d-------- C:\Documents and Settings\mino\Application Data\Desktopicon
2008-06-08 18:40 . 2008-06-15 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\U3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 13:17 30,253,088 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-24 17:25 357,140 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-24 17:25 --------- d-----w C:\Program Files\DreamMail4
2008-06-21 10:12 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-21 10:02 --------- d-----w C:\Program Files\Windows Live
2008-06-21 10:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-21 09:32 3,937,672 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-21 08:52 --------- d-----w C:\Program Files\Unlocker
2008-06-20 17:10 --------- d-----w C:\Program Files\Eset
2008-06-19 17:01 --------- d-----w C:\Program Files\Google
2008-06-19 13:13 2,678,272 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-06-19 13:13 1,743,872 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-06-19 11:33 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-06-19 11:33 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-06-19 11:33 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-06-19 11:33 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-06-19 11:33 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-06-19 11:33 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-06-19 11:33 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-06-19 11:33 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2008-05-23 11:55 --------- d-----w C:\Program Files\epson
2008-05-21 15:12 1,668,096 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-05-05 15:06 --------- d-----w C:\Documents and Settings\mino\Application Data\AdobeUM
2008-03-26 14:52 1,556,480 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
.
((((((((((((((((((((((((((((( snapshot@2008-06-21_11.35.06.00 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-21 09:32:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-25 13:06:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-21 09:22:12 53,942 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-25 13:11:05 53,942 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-21 09:22:12 64,930 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-06-25 13:11:05 64,930 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-21 09:22:12 383,588 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-25 13:11:05 383,588 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-21 09:22:12 448,428 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-06-25 13:11:05 448,428 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 12:12 139264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 16:25 737369]
"PD0630 STISvc"="P0630Pin.dll" [2005-06-05 19:01 36864 C:\WINDOWS\system32\P0630Pin.dll]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-09-21 11:24 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2005-10-11 14:33 2807808 C:\WINDOWS\alcwzrd.exe]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-19 19:19 949376]
"9cdda6b4"="C:\WINDOWS\system32\ogamqpqd.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys [2005-06-06 03:44]
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-06 15:30:00 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"
- C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXEK /dat:C:\Program Files\Norton SystemWorks\swplugin.nsi /NSWCMD:OBCSchedule
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 15:17:00
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Temps d'accomplissement: 2008-06-25 15:18:07
ComboFix-quarantined-files.txt 2008-06-25 13:18:02
ComboFix2.txt 2008-06-21 09:35:37
ComboFix3.txt 2008-06-19 13:39:58
Pre-Run: 15,084,748,800 octets libres
Post-Run: 15,060,037,632 octets libres
161 --- E O F --- 2008-06-19 16:22:37
Comme préconisé, j'ai effectué la manipulation indiquée dans le post 6.
Merci encore de votre aide.
Voici donc le log ComboFix:
ComboFix 08-06-20.4 - mino 2008-06-25 15:13:11.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.585 [GMT 2:00]
Endroit: C:\Documents and Settings\mino\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\mino\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active
FILE ::
C:\WINDOWS\setupapi.old
C:\WINDOWS\system32\mlJDutSJ.V00dll
C:\WINDOWS\system32\mlJDutSJ.Vdll
C:\WINDOWS\system32\ogamqpqd.dll
C:\WINDOWS\system32\tmp.reg
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\setupapi.old
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJDutSJ.V00dll
C:\WINDOWS\system32\mlJDutSJ.Vdll
C:\WINDOWS\system32\ogamqpqd.dll
C:\WINDOWS\system32\tmp.reg
.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-25 to 2008-06-25 ))))))))))))))))))))))))))))))))))))
.
2008-06-21 11:34 . 2008-06-25 15:13 1,074 ---hs---- C:\WINDOWS\system32\dqpqmago.ini
2008-06-19 19:29 . 2008-06-19 19:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MumboJumbo
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Program Files\GameHouse
2008-06-19 19:28 . 2008-06-19 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\GameHouse
2008-06-19 19:19 . 2008-06-19 19:19 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-06-19 19:19 . 2008-06-19 19:19 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-06-19 19:19 . 2008-06-19 19:19 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-06-19 19:19 . 2008-06-19 19:19 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-06-19 17:09 . 2008-06-19 17:09 1,204,007 --a------ C:\upload_moi_2RH.tar.gz
2008-06-19 16:49 . 2008-06-19 16:49 <REP> d-------- C:\Program Files\Trend Micro
2008-06-19 16:40 . 2008-06-19 18:50 <REP> d-------- C:\Program Files\Yahoo!
2008-06-19 14:46 . 2008-06-19 14:46 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-06-19 14:41 . 2008-06-19 16:54 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\mino\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-19 14:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-19 14:41 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-19 14:41 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-19 14:21 . 2008-06-19 13:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-19 14:21 . 2008-02-07 13:25 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-06-19 14:21 . 2008-02-07 13:25 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-19 14:21 . 2008-02-07 12:38 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-19 14:21 . 2008-06-19 14:21 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-19 13:53 . 2004-08-05 14:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2008-06-19 13:51 . 2004-08-05 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-06-19 13:50 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-06-19 13:49 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-06-19 13:40 . 2008-06-19 13:40 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-06-19 13:39 . 2004-08-05 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-06-19 12:52 . 2008-06-19 15:02 <REP> d-------- C:\Documents and Settings\mino\Application Data\Desktopicon
2008-06-08 18:40 . 2008-06-15 19:28 <REP> d-------- C:\Documents and Settings\mino\Application Data\U3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 13:17 30,253,088 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-24 17:25 357,140 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-24 17:25 --------- d-----w C:\Program Files\DreamMail4
2008-06-21 10:12 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-21 10:02 --------- d-----w C:\Program Files\Windows Live
2008-06-21 10:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-21 09:32 3,937,672 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-21 08:52 --------- d-----w C:\Program Files\Unlocker
2008-06-20 17:10 --------- d-----w C:\Program Files\Eset
2008-06-19 17:01 --------- d-----w C:\Program Files\Google
2008-06-19 13:13 2,678,272 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-06-19 13:13 1,743,872 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-06-19 11:33 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-06-19 11:33 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-06-19 11:33 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-06-19 11:33 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-06-19 11:33 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-06-19 11:33 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-06-19 11:33 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-06-19 11:33 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2008-05-23 11:55 --------- d-----w C:\Program Files\epson
2008-05-21 15:12 1,668,096 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-05-05 15:06 --------- d-----w C:\Documents and Settings\mino\Application Data\AdobeUM
2008-03-26 14:52 1,556,480 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
.
((((((((((((((((((((((((((((( snapshot@2008-06-21_11.35.06.00 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-21 09:32:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-25 13:06:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-21 09:22:12 53,942 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-25 13:11:05 53,942 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-21 09:22:12 64,930 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-06-25 13:11:05 64,930 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-21 09:22:12 383,588 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-25 13:11:05 383,588 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-21 09:22:12 448,428 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-06-25 13:11:05 448,428 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 12:12 139264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 16:25 737369]
"PD0630 STISvc"="P0630Pin.dll" [2005-06-05 19:01 36864 C:\WINDOWS\system32\P0630Pin.dll]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-09-21 11:24 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2005-10-11 14:33 2807808 C:\WINDOWS\alcwzrd.exe]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-19 19:19 949376]
"9cdda6b4"="C:\WINDOWS\system32\ogamqpqd.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys [2005-06-06 03:44]
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-06 15:30:00 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"
- C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXEK /dat:C:\Program Files\Norton SystemWorks\swplugin.nsi /NSWCMD:OBCSchedule
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 15:17:00
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Temps d'accomplissement: 2008-06-25 15:18:07
ComboFix-quarantined-files.txt 2008-06-25 13:18:02
ComboFix2.txt 2008-06-21 09:35:37
ComboFix3.txt 2008-06-19 13:39:58
Pre-Run: 15,084,748,800 octets libres
Post-Run: 15,060,037,632 octets libres
161 --- E O F --- 2008-06-19 16:22:37
tout n'est pas parti
on recommence
Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
-
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
scanner en ligne et poster le rapport obtenu
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
NOTE: le Scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
On va te demander de télécharger des contrôles ActiveX, accepte.
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant
Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail.
Le Scan va commencer.
Reviens avec le rapport de Scan obtenu
on recommence
Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
File:: C:\WINDOWS\system32\dqpqmago.ini Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "9cdda6b4"=-
-
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
scanner en ligne et poster le rapport obtenu
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
NOTE: le Scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
On va te demander de télécharger des contrôles ActiveX, accepte.
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant
Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail.
Le Scan va commencer.
Reviens avec le rapport de Scan obtenu
