Portable ACER trop infecté.. Aidez moi SVP
dalil
-
stefnikita -
stefnikita -
Bonjour,
plusieurs virus circlent sur mon pc, avec des dégâts graves:
- des fichiers et dossiers qui sont devenus invisibles
- des fichiers même système prennent l'extension .bmp
- etc.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:43, on 30/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe
D:\WINDOWS\explorer.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\Documents and Settings\tazebama.dl_
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [protect_autorun] D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe /start
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\RunOnce: [ISSetup] "D:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\CTIVCJGZ\spywarefighter[1].exe" /k /l1036 /t%IS_T% /e%IS_E% /w /v"%IS_V%" /c
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scieplugin.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O20 - AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: CSIScanner - Prevx - D:\Program Files\PrevxCSI\prevxcsi.exe
plusieurs virus circlent sur mon pc, avec des dégâts graves:
- des fichiers et dossiers qui sont devenus invisibles
- des fichiers même système prennent l'extension .bmp
- etc.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:43, on 30/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe
D:\WINDOWS\explorer.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\Documents and Settings\tazebama.dl_
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [protect_autorun] D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe /start
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\RunOnce: [ISSetup] "D:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\CTIVCJGZ\spywarefighter[1].exe" /k /l1036 /t%IS_T% /e%IS_E% /w /v"%IS_V%" /c
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scieplugin.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O20 - AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: CSIScanner - Prevx - D:\Program Files\PrevxCSI\prevxcsi.exe
A voir également:
- Portable ACER trop infecté.. Aidez moi SVP
- Nettoyer ordinateur portable lent - Guide
- Réinitialiser pc portable - Guide
- Hwmonitor portable - Télécharger - Informations & Diagnostic
- Activer pavé tactile pc portable - Guide
- Acer driver - Télécharger - Pilotes & Matériel
10 réponses
Salut
* Télécharge FixWareout de ce site sur le bureau:
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.
ensuite :
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Télécharge FixWareout de ce site sur le bureau:
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.
ensuite :
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
rapport fixware:
Username "Administrateur" - 30/07/2008 15:58:36 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
rapport hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:19, on 30/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\tazebama.dl_
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [protect_autorun] D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe /start
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scieplugin.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O20 - AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: CSIScanner - Prevx - D:\Program Files\PrevxCSI\prevxcsi.exe
Username "Administrateur" - 30/07/2008 15:58:36 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
rapport hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:19, on 30/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\tazebama.dl_
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [protect_autorun] D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe /start
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scieplugin.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{13017B33-A725-40C0-80CD-A1A0C6768612}: NameServer = 10.150.96.210
O20 - AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: CSIScanner - Prevx - D:\Program Files\PrevxCSI\prevxcsi.exe
Copie le texte ci-dessous :
File::
D:\WINDOWS\UVdSdGFXNXBjM1J5WVhSbGRYSUE=.scr
D:\WINDOWS\system32\QWRtaW5pc3RyYXRldXIA.com
D:\Documents and Settings.exe
D:\Documents and Settings\tazebama.dl_
D:\Documents and Settings\hook.dl_
D:\Documents and Settings\tazebama.dll
D:\autorun.inf
D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe
C:\zPharaoh.exe
D:\zPharaoh.exe
F:\zPharaoh.exe
D:\WINDOWS\system32\drivers\pxark.sys
D:\WINDOWS\system32\drivers\pavboot.sys
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"protect_autorun"="
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e3a35e80-5c95-11dd-b65a-000fb05f9fe2}]
Driver::
pxark
pavboot
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
S'il n'y a pas de rédémarrage, poste quand même les rapports.
ensuite :
Telecharge malwarebytes
-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
File::
D:\WINDOWS\UVdSdGFXNXBjM1J5WVhSbGRYSUE=.scr
D:\WINDOWS\system32\QWRtaW5pc3RyYXRldXIA.com
D:\Documents and Settings.exe
D:\Documents and Settings\tazebama.dl_
D:\Documents and Settings\hook.dl_
D:\Documents and Settings\tazebama.dll
D:\autorun.inf
D:\Documents and Settings\Administrateur\Mes documents\CPE17AntiAutorun1330.exe
C:\zPharaoh.exe
D:\zPharaoh.exe
F:\zPharaoh.exe
D:\WINDOWS\system32\drivers\pxark.sys
D:\WINDOWS\system32\drivers\pavboot.sys
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"protect_autorun"="
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e3a35e80-5c95-11dd-b65a-000fb05f9fe2}]
Driver::
pxark
pavboot
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
S'il n'y a pas de rédémarrage, poste quand même les rapports.
ensuite :
Telecharge malwarebytes
-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Excuse moi si je suis revenu en arrière, j'ai effectué une analyse kaspersky, qui a détécté un ensemble de virus et procédé à la suppression... après laquelle windows ne démarre plus...
j'ai réinstallé xp sur la partition D, ce que je veux au moins c' la récupération des fichiers et dossiers de la partition C qui sont devenus invisible, ils sont visible avec un outil FTP...
voici les nouveaux rapports
Username "Administrateur" - 02/08/2008 11:59:51 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"protect_autorun"="D:\\Documents and Settings\\Administrateur\\Bureau\\CPE17AntiAutorun1330\\CPE17AntiAutorun1330.exe /start"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
-------------------------------------------------------------
ComboFix 08-07-31.06 - Administrateur 2008-08-02 12:02:37.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.298 [GMT 2:00]
Endroit: D:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-02 to 2008-08-02 ))))))))))))))))))))))))))))))))))))
.
2008-08-02 12:01 . 2008-08-02 12:01 <REP> d--hs---- D:\Recycled
2008-08-02 11:59 . 2008-08-02 11:59 <REP> d-------- D:\fixwareout
2008-08-02 11:54 . 2008-08-02 11:54 <REP> d-------- D:\Program Files\WS_FTP Pro
2008-08-02 11:54 . 2008-08-02 11:54 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Ipswitch
2008-08-02 11:54 . 2008-08-02 11:54 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\Ipswitch
2008-08-02 11:54 . 1998-10-29 16:45 306,688 --a------ D:\WINDOWS\ISUninst.exe
2008-08-02 11:54 . 2002-07-16 19:08 49,152 --a------ D:\WINDOWS\system32\FTPStubInstUtils.dll
2008-08-02 11:46 . 2008-08-02 11:46 <REP> d---s---- D:\Documents and Settings\Administrateur\UserData
2008-08-02 11:29 . 2008-08-02 11:29 <REP> d-------- D:\Program Files\Malwarebytes' Anti-Malware
2008-08-02 11:29 . 2008-08-02 11:29 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-02 11:29 . 2008-08-02 11:29 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-08-02 11:29 . 2008-07-30 20:07 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 11:29 . 2008-07-30 20:07 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-02 08:50 --------- d-----w D:\Program Files\microsoft frontpage
2008-08-02 08:48 --------- d-----w D:\Program Files\Services en ligne
.
------- Sigcheck -------
2004-08-18 07:09 359040 7b11118b078b88f87183fe69eda43137 D:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"protect_autorun"="D:\Documents and Settings\Administrateur\Bureau\CPE17AntiAutorun1330\CPE17AntiAutorun1330.exe" [2008-07-29 08:57 139264]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
O17 -: HKLM\CCS\Interface\{E9A16173-C6CF-4972-B832-DA4FCEF923E4}: NameServer = 10.150.96.210
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 12:03:15
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-08-02 12:03:33
ComboFix-quarantined-files.txt 2008-08-02 10:03:32
Pre-Run: 16,900,161,536 octets libres
Post-Run: 16,892,248,064 octets libres
85
---------------------------------------------------------------------
j'ai réinstallé xp sur la partition D, ce que je veux au moins c' la récupération des fichiers et dossiers de la partition C qui sont devenus invisible, ils sont visible avec un outil FTP...
voici les nouveaux rapports
Username "Administrateur" - 02/08/2008 11:59:51 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Cache de résolution DNS vidé.
System was rebooted successfully.
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"protect_autorun"="D:\\Documents and Settings\\Administrateur\\Bureau\\CPE17AntiAutorun1330\\CPE17AntiAutorun1330.exe /start"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
-------------------------------------------------------------
ComboFix 08-07-31.06 - Administrateur 2008-08-02 12:02:37.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.298 [GMT 2:00]
Endroit: D:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-02 to 2008-08-02 ))))))))))))))))))))))))))))))))))))
.
2008-08-02 12:01 . 2008-08-02 12:01 <REP> d--hs---- D:\Recycled
2008-08-02 11:59 . 2008-08-02 11:59 <REP> d-------- D:\fixwareout
2008-08-02 11:54 . 2008-08-02 11:54 <REP> d-------- D:\Program Files\WS_FTP Pro
2008-08-02 11:54 . 2008-08-02 11:54 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Ipswitch
2008-08-02 11:54 . 2008-08-02 11:54 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\Ipswitch
2008-08-02 11:54 . 1998-10-29 16:45 306,688 --a------ D:\WINDOWS\ISUninst.exe
2008-08-02 11:54 . 2002-07-16 19:08 49,152 --a------ D:\WINDOWS\system32\FTPStubInstUtils.dll
2008-08-02 11:46 . 2008-08-02 11:46 <REP> d---s---- D:\Documents and Settings\Administrateur\UserData
2008-08-02 11:29 . 2008-08-02 11:29 <REP> d-------- D:\Program Files\Malwarebytes' Anti-Malware
2008-08-02 11:29 . 2008-08-02 11:29 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-02 11:29 . 2008-08-02 11:29 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-08-02 11:29 . 2008-07-30 20:07 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 11:29 . 2008-07-30 20:07 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-02 08:50 --------- d-----w D:\Program Files\microsoft frontpage
2008-08-02 08:48 --------- d-----w D:\Program Files\Services en ligne
.
------- Sigcheck -------
2004-08-18 07:09 359040 7b11118b078b88f87183fe69eda43137 D:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"protect_autorun"="D:\Documents and Settings\Administrateur\Bureau\CPE17AntiAutorun1330\CPE17AntiAutorun1330.exe" [2008-07-29 08:57 139264]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
O17 -: HKLM\CCS\Interface\{E9A16173-C6CF-4972-B832-DA4FCEF923E4}: NameServer = 10.150.96.210
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 12:03:15
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-08-02 12:03:33
ComboFix-quarantined-files.txt 2008-08-02 10:03:32
Pre-Run: 16,900,161,536 octets libres
Post-Run: 16,892,248,064 octets libres
85
---------------------------------------------------------------------
bah D est clean
maintenant pour recuperer tes données, tu vas devoir ouvrir un topic dans le forum windows
@++
maintenant pour recuperer tes données, tu vas devoir ouvrir un topic dans le forum windows
@++
