packer nsanti = ordi tro lent

Question

Bonjour,
j'ai un soucis : mon ordi s'est éteint e à redémarrer tut seul : donc je me suis aperçu qu'il y avait un virus (apporté par une clef USB, de l'école de mon fils....mais il avait un examen à préparer ! ! )
depuis, l'orid rame ++++++++
le scan Bitdefender m'a dit que c'était : Generic Brontok 5...., mais j'ai aussi vu une fois Packer nsanti 1 Gen, et je crois que c'est celui là qui me gène actuellement.
j'ai trouvé sur votre forum comment utilisé l'outil contre brontok avec bitdefender, j'ai installé Spybot, CCleaner
je n'ai jamais réussi a faire marcher Spybot en entie (plus de 24 h, j'ai craqué)
maintenant je suis en mode sans echec, et chaque fois que j'essaie de mettre avec une cle ou de tétéchargr un outil comme un ani maleware, l'ordi se déconnecte !
j'ai essayé plusisuers fois de lancer alewarebytes antimaleware : il se deconnecte
Ccleaner aussi
je tente en ce momoent encore une fois Spybot, mais c'est très long
je vous ecris avec un autre ordi, qui me permet de naviguer à la recherche d'unesolution
merci de m'aider, car je comprends ce que vous ecrivez sur votre site

Utilisateur anonyme · Answer

Bonjour,
Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 
- Lance Hijackthis, puis sélectionne < do a system scan and save a logfile > 
- Enregistre le rapport sur ton bureau.
Et envoie, par collier/coller, ton log Hijackthis sur le forum,


Après avoir posté le rapport sur le forum,
> Télécharge MalwareByte's Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Installe le programme puis lance le stp.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour")
- Démarre en mode sans échec (image). Si problème : tuto ici
- Lance le MalwareByte's Anti-Malware puis clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- Après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum stp.



A+

Utilisateur anonyme · Answer

Salut DllD

pour suivre merci

Utilisateur anonyme · Answer

salut minette

essai ceci :

supprime ton hijackthis


Télécharge HijackThis ici : 

->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 

renome le en monjack et enregistre le sur l ebureau puis telecharge le et test pour un scan

Utilisateur anonyme · Answer

Bonsoir,
Ok....

Et le rapport MalewareByte's ? Tu peux le poster ?

+

Utilisateur anonyme · Answer

Re,

Si tu n'y arrive pas, fais ceci stp :
Je suis passé à coté de l'essentiel.

> Télécharge RavAntivirus d'Evosla sur ton bureau : http://ww25.evosla.com/compteur.php?soft=rav_antivirus
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir avant de lancer ce FIX
- Clique droit sur le fichier .ZIP, puis "Extraire vers" Bureau.
- Doucle-clique sur "RAV.exe" pour lancer le fix.
- Laisse le programme agir : il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
- En cas d'infections un rapport sera généré : poste le dans ta prochaine réponse stp.
- Ensuite : retire tes disques amovibles et redémarre le PC.


Puis réessaye d'avoir un rapport HiJackT (poste le aussi :-))



A+

Utilisateur anonyme · Answer

Ok,
On reprend demain.
Je pense qu'on va devoir faire une restauration Windows. 

Mais pour l'instant je voudrai m'assurer que le système est sain.

As-tu le CD Windows ?

A demain.

Utilisateur anonyme · Answer

Bonjour,
Ok,

> Télécharge RavAntivirus d'Evosla sur ton bureau : http://ww25.evosla.com/compteur.php?soft=rav_antivirus
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir avant de lancer ce FIX
- Clique droit sur le fichier .ZIP, puis "Extraire vers" Bureau.
- Doucle-clique sur "RAV.exe" pour lancer le fix.
- Laisse le programme agir : il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
- En cas d'infections un rapport sera généré : poste le dans ta prochaine réponse stp.
- Ensuite : retire tes disques amovibles et redémarre le PC.


Ensuite essaye à nouveau HiJackT.

Bon courage.

Minette/MRS · Answer

le comble : dans la liste du forum, il y a quelqu'un qui a mis comme motif : rapport hijackthis.
si je clique dessus pour voir ce qui se dit, l'ordi se ferme ! ! !

Utilisateur anonyme · Answer

Bon, bon, bon....

Salut :-)

C'est la première fois que je vois ça,
alors essayons autrement :

> Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau : http://www.techsupportforum.com/sectools/Deckard/dss.exe
- Choisis <enregistrer> et <Bureau> pour l'emplacement.
- Ferme toutes les applications en cours (même internet). C'est important car sinon le PC peut planter.
- Double-clique sur dss.exe pour lancer l'outil.
- S'il ne trouve pas HijackThis, clique sur Oui.
- Clique sur OK à chaque fois que cela te sera demandé.
- Une fois l'analyse finie un rapport s'affichera. Poste son contenu dans ta réponse stp.
NB : Le rapport se trouve aussi ici : C:\Deckard\System Scanner\main.txt
PS : Si tu obtiens deux rapports (main.txt + extra.txt) alors poste les deux stp.
Attention : les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).

PS : Désolé je vois que je t'ai demandé deux fois RavAntivirus...j'avais mal lu.

Bon courage,

A+

Utilisateur anonyme · Answer

Bonjour,
Ok,
très bien : je vois les problèmes.
Brontok.....

Alors,
> Lance Hijackthis :
- Puis sélectionne < Do a system scan only >
- Coche les cases des lignes suivantes :

F0 - system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-ckzjlnh.exe"
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-ckzjlnh.exe" 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) 
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) 

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
O4 - HKLM\..\Run: [Bron-Spizaetus-ckhnlsoq] "C:\WINDOWS\ShellNew\bbm-qoslnhkc.exe" 
O4 - HKCU\..\Run: [Tok-Cirrhatus-2355] "C:\Documents and Settings\Dominique\Local Settings\Application Data\br5733on.exe" 
O4 - Startup: Empty.pif 

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >

Après,
> Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau...
- Double-clique sur OTMoveIt.exe pour le lancer.
- Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!!
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé <Paste standard List of Files/Folders to be moved>.

C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe 
C:\WINDOWS\sembako-ckzjlnh.exe
C:\WINDOWS\ShellNew\bbm-qoslnhkc.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\br5733on.exe

- Clique sur < MoveIt! > pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante stp.

Ensuite,
>Télécharge et installe Ccleaner : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ , si besoin est tu trouveras des Tutoriaux ici, ici et là, fais les mises à jour puis ferme le programme.

> Démarre en mode sans échec : (image). Si problème : tuto ici
>Lance Ccleaner,,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

> Relance ton PC en mode normal puis Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie, par collier/coller, ton log Hijackthis,

Ensuite,
fais une recherche du fichier Empty.pif (copie/colle le dans le moteur de recherches Windows : Menu démarrer puis rechercher (tous les fichiers)).
Dis moi où il se trouve stp (C:\....).

Peux tu vérifier que ton pare feu Bitdefender est bien activé ?

Après on voit ce qui reste.
Comment va le PC ?

A+

Minette/MRS · Answer

je ne peux pas lancer HijackThis, l'ordi ne veut pas, il se ferme ! ! 
ni en mode normal ni en mode sans echec
comment faire autrement ?
est ce que je dois repasser pas DSS? et si ouyi comment je fais?

Utilisateur anonyme · Answer

Ok,

:(

> Assure toi d'avoir accès aux fichiers cachés :
Menu démarrer => apparence et thèmes => options des dossiers => affichage
"Afficher les fichiers cachés" => coché


Peux tu supprimer manuellement tous ces fichiers :

C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe 
C:\WINDOWS\sembako-ckzjlnh.exe
C:\WINDOWS\ShellNew\bbm-qoslnhkc.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\br5733on.exe


Puis réessaye cette étape : http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#31


Bon courage.

:-)

Utilisateur anonyme · Answer

Bon,
ok.

Alors on laisse ça en suspend.
Le rapport DSS est assez clair... : on y va.


> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.


Bon courage.

Minette:MRS · Answer

Salut DIID, 

mon ordi ne se connecte plus, alors j'ai relancé comme au début, Malewarebytes et voic le rapport après suppression
j'ai essayé de lncer hijackthis, mais l'ordi se ferme ! ! 
j'ai l'impression que j'ai une sacrée M.... dans l'ordi, qui m'empeche d'avoir accès au systeme et de faire ce que je veux !
A +

VOICI LE RAPPORT = 

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

17:48:34 2008-06-25
mbam-log-6-25-2008 (17-48-30).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 151324
Temps écoulé: 1 hour(s), 17 minute(s), 19 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Dominique\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Utilisateur anonyme · Answer

Bonjour,
Alors,

On va faire autrement :
> Télécharge Zeb-Restore : http://telechargement.zebulon.fr/zeb-restore.html
- Mets le dans un dossier, sur ton bureau par exemple.
- Lance Zebrestore et coche la/les case(s) suivante(s) :

RegEdit
Clés RUN
Bouton Arrêter
Windows Update
Gestionnaire des tâches
Panneau de configuration
Ajout/Suppression de programmes
Policies
Bureau
Sites de confiance et sensibles
Préfixes et Protocoles Internet
Réinitialiser Fichier Hosts

- Ne coche que la/les case(s) indiquée(s).
- Clique sur le bouton Restaurer.
- Quitte le programme.

Puis fais ceci :
http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#31

Puis cela :
http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#39

Poste alors les rapports + un HiJackT (en espérant que tu y arrives)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Si ça ne marche pas,
alors fais ceci :
(si tu as réussi à faire le Ccleaner, ne le refais pas. Mais si tu préfère le refaire : c'est mieux)

> Télécharge et installe Ccleaner :
- Fais les mises à jour puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux : ici, ici et là.

> Télécharge Clean (de Malekal Morte) (différent de Ccleaner)

> Télécharge SDFix (de AndyManchesta) sur ton bureau :
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix. Ferme ensuite le programme.

> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.

> Démarre en mode sans échec : (image). Si problème : tuto ici

> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

> Pour Clean (encore en mode sans échec) :
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean (Le rapport clean se trouve ici : C:\rapport_clean.txt)
NB : Si besoin : Tuto

> Pour SDFix (toujours en mode sans échec) :
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commence....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

> Relance ton PC en mode normal

> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis,

Bon courage,

:)

A+

Minette:MRS · Answer

qd je veux lancer ZebRestore, il me dit "L modification du registre a été désactivée par votre administrateur" !
Or je suis seule sur le PC
quid ?

Utilisateur anonyme · Answer

Ok,
et tu as bien supprimer les fichiers avec Malwarebyte's ? (poste N°44)

Parce que :
(Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.


Essaye de lancer Combofix de nouveau en mode sans échec).

Si il ne passe pas fais la suite qui se trouve là :
http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#45



PS : tu m'avais parler d'un rapport de Combo ici : 
http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#40
Peux tu me l'envoyer par le site cijoint ? (poste en dessous).


Dis moi sinon ou tu rencontres des problèmes.

Minette/MRS · Answer

RAPPORT ComboFix =

ComboFix 08-06-20.4 - Dominique 2008-06-27 8:04:09.1 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1241 [GMT 2:00]
Endroit: C:\Documents and Settings\Dominique\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Dominique\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-27 to 2008-06-27 ))))))))))))))))))))))))))))))))))))
.

2008-06-26 20:12 . 2008-06-25 15:45 <REP> d-------- C:\SDFix
2008-06-26 19:25 . 2008-06-26 19:25 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-06-24 00:17 . 2008-06-24 00:17 <REP> d-------- C:\Deckard
2008-06-23 19:52 . 2008-06-23 19:52 173 --a------ C:\curr_ver.tmp
2008-06-23 18:10 . 2008-06-23 18:10 <REP> d-------- C:\Program Files\Trend Micro
2008-06-21 13:42 . 2008-06-21 13:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-21 13:42 . 2008-06-21 13:42 <REP> d-------- C:\Documents and Settings\Dominique\Application Data\Malwarebytes
2008-06-21 13:42 . 2008-06-21 13:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-21 13:42 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-21 13:42 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-21 12:37 . 2008-06-23 21:51 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-06-21 11:25 . 2008-06-21 11:25 <REP> d-------- C:\Program Files\temp
2008-06-20 23:34 . 2008-06-20 23:34 <REP> d-------- C:\Program Files\CCleaner
2008-06-18 21:25 . 2008-06-18 21:26 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-06-18 21:25 . 2008-06-19 00:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-15 16:00 . 2008-06-15 16:00 10 -r-hs---- C:\WINDOWS\system32\sistem.sys
2008-06-12 15:19 . 2004-09-14 15:54 1,031,680 --a------ C:\WINDOWS\system32\WebPro32.OCX
2008-06-10 23:55 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 23:55 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-07 12:55 . 2008-06-07 12:55 <REP> d-------- C:\Documents and Settings\Dominique\Application Data\Macrovision
2008-06-07 12:51 . 2007-11-05 11:56 101,120 -ra------ C:\WINDOWS\system32\drivers\ewusbmdm.sys
2008-06-07 12:50 . 2008-06-07 12:50 <REP> d-------- C:\Program Files\Vodafone
2008-06-07 12:50 . 2008-06-07 12:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision
2008-06-01 11:29 . 2008-06-01 11:34 <REP> d-------- C:\Documents and Settings\Dominique\Application Data\U3

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 05:53 --------- d-----w C:\Program Files\Fichiers communs\Softwin
2008-06-26 15:39 --------- d-----w C:\Program Files\HelloDOC
2008-06-01 18:25 --------- d-----w C:\Program Files\VideoLAN
2008-05-16 16:03 --------- d-----w C:\Program Files\AIDA32 - Personal System Information
2008-05-09 20:11 --------- d-----w C:\Program Files\LimeWire
2008-05-09 19:06 --------- d-----w C:\Documents and Settings\Dominique\Application Data\LimeWire
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-30 20:09 --------- d-----w C:\Documents and Settings\Dominique\Application Data\Panasonic
2008-04-30 14:44 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-30 14:44 --------- d-----w C:\Program Files\Panasonic
2008-04-30 14:43 --------- d-----w C:\Documents and Settings\Dominique\Application Data\InstallShield
2008-04-30 14:41 --------- d-----w C:\Program Files\QuickTime
2008-04-30 14:39 --------- d-----w C:\Program Files\Apple Software Update
2008-04-30 14:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-04-08 15:24 230 ----a-w C:\Documents and Settings\Dominique\Application Data\wklnhst.dat
2007-03-09 18:05 284 ----a-w C:\Documents and Settings\Dominique\Application Data\ViewerApp.dat
2006-08-29 20:55 901 ----a-w C:\Program Files\INSTALL.LOG
2004-08-05 12:00 1,392,671 --sh--r C:\WINDOWS\system32\msvbvm60.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VirtualExpanderFile.1]
@={E4000AC4-5E5F-4956-807A-C5854405D64F}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-18 02:19 171448]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"ISUSPM"="C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 15:41 222128]
"Tok-Cirrhatus-2355"="C:\Documents and Settings\Dominique\Local Settings\Application Data\br5733on.exe" [2008-02-27 23:18 45378]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint\Apoint.exe" [2004-11-17 13:47 118784]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 06:17 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 06:13 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 06:17 118784]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-02-28 14:25 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-02-28 14:25 602182]
"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-02-28 14:29 569413]
"SonyPowerCfg"="C:\Program Files\Sony\VAIO Power Management\SPMgr.exe" [2006-03-09 20:58 217088]
"ISBMgr.exe"="C:\Program Files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 14:12 32768]
"Switcher.exe"="C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe" [2006-02-14 12:11 176128]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 21:47 483328]
"BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2008-06-22 00:19 372736]
"BDOESRV"="C:\Program Files\Softwin\BitDefender9\bdoesrv.exe" [2005-03-11 18:53 90112]
"BDNewsAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe" [2005-06-09 11:28 9728]
"BDSwitchAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" [2005-04-06 14:09 33280]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2003-09-05 17:55 1200178]
"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 17:58 1185264]
"AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 18:02 1961576]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2006-10-17 11:47 87584]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20 227328]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"Bron-Spizaetus-ckhnlsoq"="C:\WINDOWS\ShellNew\bbm-qoslnhkc.exe" [2008-02-27 23:18 45378]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-08-17 22:48 439872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
VESWinlogon.dll 2006-03-09 14:51 73728 C:\WINDOWS\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\VideoLib\sonydv.dll
"VIDC.SP51"= SP5X_32.DLL
"VIDC.SP52"= SP5X_32.DLL
"VIDC.SP53"= SP5X_32.DLL
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP59"= SP5X_32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^E-Compagnon.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\E-Compagnon.lnk
backup=C:\WINDOWS\pss\E-Compagnon.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Picture Package Menu.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Picture Package Menu.lnk
backup=C:\WINDOWS\pss\Picture Package Menu.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Picture Package VCD Maker.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Picture Package VCD Maker.lnk
backup=C:\WINDOWS\pss\Picture Package VCD Maker.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--a------ 2006-01-25 11:45 53248 C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoClock]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoComputer]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoNet]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoPhoto]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoRss]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoSudoku]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoWeather]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]
--a------ 2003-06-18 12:00 204800 C:\Program Files\Microsoft Money\System\mnyexpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-03-23 13:20 227328 C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\reminder]
--a------ 2004-10-12 07:45 315392 C:\WINDOWS\reminder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-04-24 08:20 1448960 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe]
--a------ 2006-01-07 02:36 81920 C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-02-18 02:19 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tracks Eraser Pro]
--a------ 2004-07-12 13:57 1265152 C:\Program Files\Acesoft\Tracks Eraser Pro\te.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VAIO Update 2]
--a------ 2005-10-11 21:36 151552 C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vdlDeamon]
--a------ 2007-05-15 19:21 964096 C:\Program Files\Vidal\Communs\Vidal.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 shpf;Sony HDD Protection Filter Driver;C:\WINDOWS\system32\DRIVERS\shpf.sys [2005-11-21 07:06]
R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 04:59]
S2 FILESpy;FILESpy;C:\Program Files\Softwin\BitDefender9\filespy.sys []
S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2006-08-29 22:55]
S3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 04:19]
S3 Image Converter video recording monitor for VAIO Entertainment;Image Converter video recording monitor for VAIO Entertainment;C:\Program Files\Sony\Image Converter 2\IcVzMon.exe [2005-07-14 19:10]
S3 serusb;XIRING USB COM Port;C:\WINDOWS\system32\DRIVERS\usbser.sys [2004-08-03 23:08]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41]
S3 ti21sony;ti21sony;C:\WINDOWS\system32\drivers\ti21sony.sys [2006-02-21 11:32]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16a714c8-33cd-11dd-9950-0002c7e9af6a}]
\Shell\AutoRun\command - H:\StartVMCLite.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bd0413d-1914-11dd-9940-0013027d3c09}]
\Shell\AutoRun\command - H:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4756bf49-d3c6-11dc-991e-0002c7e9af6a}]
\Shell\AutoRun\command - explorer.exe "http://www.cellostart.fr"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4adfb82a-3882-11dd-9953-0002c7e9af6a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL http://www.cellostart.fr

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ceac060-5eb8-11dc-98f1-0002c7e9af6a}]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c0c5a06-3327-11dd-994f-0002c7e9af6a}]
\Shell\AutoRun\command - H:\StartVMCLite.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-30 14:39:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 08:13:48
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-27 8:22:23 - machine was rebooted [Dominique]
ComboFix-quarantined-files.txt 2008-06-27 06:22:15

Pre-Run: 17,180,983,296 octets libres
Post-Run: 17,928,028,160 octets libres

210 --- E O F --- 2008-06-23 12:52:55

Utilisateur anonyme · Answer

Bonjour,
je suis là :-)

Peux tu poster en fin de discussion stp pour conserver la chronologie ? Merci.

Bon,
on avance quand même. Oufff !

Alors continuons :
Désactive le Teatimer de Spybot (= la protection résidente), puis :

> Lance Hijackthis :
- Puis sélectionne < Do a system scan only >
- Coche les cases des lignes suivantes :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) 

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 

O4 - HKLM\..\Run: [Bron-Spizaetus-ckhnlsoq] "C:\WINDOWS\ShellNew\bbm-qoslnhkc.exe" 
O4 - HKCU\..\Run: [Tok-Cirrhatus-2355] "C:\Documents and Settings\Dominique\Local Settings\Application Data\br5733on.exe" 
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Bluetooth Manager.lnk = ? 
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >

Après,
> Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau...
- Double-clique sur OTMoveIt.exe pour le lancer.
- Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!!
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé <Paste standard List of Files/Folders to be moved>.

C:\WINDOWS\ShellNew\bbm-qoslnhkc.exe
C:\Documents and Settings\Dominique\Local Settings\Application Data\br5733on.exe
C:\autorun.inf

- Clique sur < MoveIt! > pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante stp.

Maintenant,
> Passe un coup de Ccleaner en mode sans échec

> Relance ton PC en mode normal puis Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie, par collier/coller, ton log Hijackthis,

As-tu réussit à faire le SDFix ? comme indiqué ici : http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#45
Si oui poste le rapport, si non alors fais le stp.

Comment va le PC ?

A+

minette/MRS · Answer

resalut !

chui vraiment déséspérée, j'ai réussi à t'envoyer les rapports, mais depuis, je n'ai pas pu réouvrir hijackThs (= l'ordi se ferme)
J'ai essayé de recommencer c'est à dire : 
- j'ai viré Spybot de l'ordi
- j'ai déconnécté l'antivirus
- je travaille hors connection et en mode sans echec
- j'ai lancé Maleware : il y avait encore des infections (ci joint raport)
- j'ai lancé CCleaner : l'ordi se ferme
- j'ai lancé Zebstore = l'ordi se ferme
- j'ai lancé DSS : voici rapport
- j'ai lancé Combifix = lordi se ferme
help, help!!

RAPPORT de MalewareBytes : 

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

20:36:04 2008-06-27
mbam-log-6-27-2008 (20-36-04).txt

Type de recherche: Examen rapide
Eléments examinés: 38343
Temps écoulé: 6 minute(s), 1 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Dominique\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


RAPPORT DSS : 
Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

20:36:04 2008-06-27
mbam-log-6-27-2008 (20-36-04).txt

Type de recherche: Examen rapide
Eléments examinés: 38343
Temps écoulé: 6 minute(s), 1 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Dominique\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Dominique\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re,
ok : je comprends ton désespoir...
Mais il faut faire front !

Alors,
Peux tu refaire un Malebytes, tout supprimer, puis ne relance pas ton PC.

Essaye alors de fixer dans HiJackT comme dit ici :
http://www.commentcamarche.net/forum/affich 7005826 packer nsanti ordi tro lent#52

Puis, sans redémarrer ton PC, enchaine sur le OTMoveIT (même liens).

Si ça marche pas : essaye par le OTMoveIT en premier.

En fait dès que tu redémarres la bécane : tout revient...

Dis moi si tu rencontres des difficultés.

De mon coté je cherche une autre solution.
Courage.

:-)

Utilisateur anonyme · Answer

Re,
J'ai posté juste au dessus (en 54).

J'ai trouvé des infos....

As-tu un pare feu d'installer ?

Si tu n'en as pas :
> Installe un pare feu :
- Je te conseille Kerio : http://www.commentcamarche.net/telecharger/telecharger 206 kerio . Si problème, tuto : https://kerio.probb.fr/
- Si tu as des difficultés avec les configuration de Kerio, alors installe Zone Alarme : /telecharger/telecharger-157-zonealarm, en cas de problème : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm 
- Installe le nouveau pare-feu, puis désactive le pare-feu windows.    


Essaye ce que je t'ai dit stp. Sinon on passe à autre chose.


A+

Utilisateur anonyme · Answer

Salut Minette,

Bien joué !


Alors,
Peux tu me renvoyer un nouveau rapport HiJackT pour vérifier que tout est parti ?

Comment va le PC ?
Après on termine.


Bonne journée.

Utilisateur anonyme · Answer

Bonsoir, Très bien.... Non : Tu peux garder ton antivirus qui est rès bien. Kaspersky est mieux à mon gout, mais bon... Tu es bien protégée. C'est surtout la façon dont tu utilise ton PC qui fait la différence : ne pas cliquetter sur tout sur Internet... Et attention au P2P... Bref, Si tout va bien alors on termine (sinon dis moi et laisse ce poste en suspend) : > Peux-tu vérifier ta console JAVA ici : https://www.java.com/fr/download/uninstalltool.jsp, et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). Dis moi ce qu'il en est stp. Pour info. ou en cas de problème : http://assiste.com.free.fr/p/abc/c/anti_java.html > Mets à jour Acrobat si ce n'est pas le cas (désinstalle avant la version antérieure) : https://get2.adobe.com/reader/otherversions/ > Télécharge ToolsCleaner : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton bureau. - Clique sur Recherche et laisse le scan agir ... - Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives) - Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)). - Supprime ToolsCleaner ensuite. > Télécharge et installe Easy Cleaner stp : https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html (lien miroir : https://www.clubic.com/telecharger-fiche11170-easycleaner.html ) - Lance le programme puis clique sur puis sur . - A la fin du scan clique sur puis confirme par puis quitte le programme. Si besoin tuto ici : https://www.pcparadise.fr et http://www.6ma.fr/tuto/easycleaner-nettoyer-windows-des-elements-obsoletes/ > Tu peux aussi vider ta corbeille. > Désactive et réactive la restauration de système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924 > Passe un coup d'AGV et/ou de MalwareByte's Anti-Malware et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC. Tu peux aussi décocher la casse dans l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures"). - Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. - Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) > Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Quelques Antispywares] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows)] + [Utilisation du PC en mode Invité (= limité). Lors d'une infection en mode administrateur le PC est beaucoup plus vulnérable. Voir ICI] > Quelques liens utiles : - http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet - https://sebsauvage.net/safehex.html - https://www.zebulon.fr/telechargements/securite/protection-donnees-personnelles/spywareblaster.html (= petit logiciel qui bloque l'installation d'activ-X nuisibles au PC. Fonctionne en arrière plan) Voila, Bonne lecture.... A+

Utilisateur anonyme · Answer

Salut,

Ok ! super :)

Alors il ne me reste plus qu'à te dire bonne route.

Surfe pas trop près des récifs !


A+++

Packer nsanti = ordi tro lent

25 réponses

Votre réponse

Newsletters