Gros problème avec Windows Xp

Question

Bonsoir, 
J'ai un gros problème avec l'un de mes pc. 
En effet, depuis quelques jours, internet s'execute quelques minutes, puis plus rien, délai d'attente dépassé etc... 
De plus, je me suis rendu compte tout à l'heure que toutes les applications antispam, antivirus dont Antivir ont disparu, et quand j'essaye de les executer, elles ou autres choses, il me dit que "... n'est pas une application win32 valide..." 
J'ai dejà eu un problème similaire, dû à un virus, que puis-je faire ?  Je pense d'aillers que, comme l'icone de l'antivirus a disparu, et que presque plus aucun logiciel ne s'execute, il doit s'agir d'u virus ...
SVP c'est urgent, ce pc sert quotidiennement de façon professionelle... 

PS: je viens de fiinir une analyse AD-AWARE et supprimé près de 390 infections, mais rien n'y fait. 

Merci

g!rly · Accepted Answer

Salut,

Telecharge FindyKill :

Fais un clic droit sur le lien et choisi enregistrer la cible sous .... le bureau

----> http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

--> Dezippe le (extraire) sur ton bureau

--> Entre dans le dossier FindyKill

--> Double clic sur findyKill.bat

choisi l option 1 (Recherche)

Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

@+

tibgcfan · Answer

Merci ^^ voilà le rapport :

»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
C:\WINDOWS\Prefetch\WINTEMS.EXE-????????.pf Present!! 
C:\WINDOWS\Prefetch\MDELK.EXE-????????.pf Present!! 
C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
C:\WINDOWS\system32\mdelk.exe Present!! 
C:\WINDOWS\system32\wintems.exe Present!! 
C:\WINDOWS\system32\ban_list.txt Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
C:\WINDOWS\system32\drivers\mdelk.exe Present!! 
C:\WINDOWS\system32\drivers\srosa.sys Present!! 
C:\WINDOWS\system32\drivers\hldrrr.exe Present!! 
"C:\WINDOWS\system32\drivers\downld" Present!! 
 
»»»» Presence des fichiers dans C:\Documents and Settings\*******\Application Data 
 
 
»»»» Presence d infections dans Support amovible 
 
L:
ideiect.com Present!!

g!rly · Answer

Salut, 

passe l´option 2 maintenant et post le rapport stp

@+

tibgcfan · Answer

J'ai deja fait l'option 2, mais le pc s'est aussitôt redemarré ... je reesaye?

g!rly · Answer

repasse l´option 1 et post le rapport stp

@+

tibgcfan · Answer

»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
C:\WINDOWS\Prefetch\WINTEMS.EXE-????????.pf Present!! 
C:\WINDOWS\Prefetch\MDELK.EXE-????????.pf Present!! 
C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
C:\WINDOWS\system32\mdelk.exe Present!! 
C:\WINDOWS\system32\wintems.exe Present!! 
C:\WINDOWS\system32\ban_list.txt Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
C:\WINDOWS\system32\drivers\mdelk.exe Present!! 
C:\WINDOWS\system32\drivers\srosa.sys Present!! 
C:\WINDOWS\system32\drivers\hldrrr.exe Present!! 
"C:\WINDOWS\system32\drivers\downld" Present!! 
 
»»»» Presence des fichiers dans C:\Documents and Settings\********\Application Data 
 
 
»»»» Presence d infections dans Support amovible 
 
L:
ideiect.com Present!! 
 
 
----------- ! Recherche realisée avec success ! -----------

g!rly · Answer

Donc l´outil ne fonctionne pas :S

On va faire autrement...

Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)

http://sd-1.archive-host.com/membres/up/1366464061/KB2.exe

Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)

http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Etape 1 :

Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...

Etape 2 :

Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.

Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :

<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>

Une fois fait, le menu principal d'Elibagla apparaîtra :

- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.

/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.

Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt

repost egalement le rapport de FindyKill option 1 ;)

@+

tibgcfan · Answer

Je vais faire cela de suite, seulement, j'ai telechargé les logiciels d'un autre pc puisque sur l'autre internet ne s'ouvre plus pour l'instant ... mais je suis obligé de les mettre sur une clé ... ça pose un problème? 

Merci pour toute ton aide ^^

g!rly · Answer

fais gaffe de pas infecter l´autre pc, car l´infection se vehicule par cle usb :S

tibgcfan · Answer

Ah mince .... ben deja je suis sur un autre pc parce que celui sur lequel je telechargeais tous les logiciels pour les installer sur le pc infecté, ne fonctionne vraiment plus bien ... comment faire autrement ? :s :s

g!rly · Answer

tu as des cd réinscriptible ?
auquel cas tu peux copier les outils dessus et apres la désinfection...
ou au pire continue avec la cle usb, on verra bien :)

tibgcfan · Answer

Ok, je vais les transporter via un cd et tout installer sur le pc infecté.
Merci,je te tiens au courant.

g!rly · Answer

ok 

alors, rajoute ceci sur le cd  au cas ou : avant de l´enrregistrer (au telechargement)  renomme le en killbagle par exemple :)

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

@+

tibgcfan · Answer

Alors j'ai fait le scan, et je poste le rapport demain, mais j'ai deja viré 16 infections,ce qui n'a pour l'instant rien changé...

tibgcfan · Answer

Alors voici deja, ce que je crois être le rapport de Elibagla, je poste celui de KB tout à l'heure :

Tue Sep 09 21:17:27 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Tue Sep 09 21:17:59 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\******\Application Data\Kind corn first\DEBUGLOG.EXE --> Eliminado Bagle.dldr
C:\Program Files\Fichiers communs\Talkway\VMTALK.EXE --> Eliminado Bagle.dldr
C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\Program Files\Windows Media Player\WMPNSCFG.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\247078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\282218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\303734.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\308281.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\308453.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\344437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\358140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\385906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\551468.EXE --> Eliminado Bagle.VR
C:\WINDOWS\system32\drivers\downld\587796.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\615218.EXE --> Eliminado Bagle

Nº Total de Directorios:   18879
Nº Total de Ficheros:      254442
Nº de Ficheros Analizados: 15763
Nº de Ficheros Infectados: 15
Nº de Ficheros Limpiados:  15

	  Tue Sep 09 21:41:17 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\RECYCLER\S-1-5-21-118679040-438426250-2369187056-1014\DD2.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   267
Nº Total de Ficheros:      3236
Nº de Ficheros Analizados: 246
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Tue Sep 09 21:41:38 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   45
Nº Total de Ficheros:      190
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Sep 09 21:42:07 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Tue Sep 09 21:42:21 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   18880
Nº Total de Ficheros:      254548
Nº de Ficheros Analizados: 15760
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Sep 09 22:12:27 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Tue Sep 09 22:12:34 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Sep 10 08:45:31 2008
EliBagle v11.69  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Et je viens en plus de lancer une analyse spybot ce matin en allumant mon PC, internet explorer et mozilla ne fonctionnent toujours pas, mais j'ai bel et bien internet puisque je peux jouer à des jeux en reseaux.

g!rly · Answer

Salut tibgcfan, 

bon...

peux tu poster a nouveau le rapport de :FindyKill stp

--> Entre dans le dossier FindyKill

--> Double clic sur findyKill.bat

choisi l option 1 (Recherche)

Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

@+

steph77phane · Answer

salut,
un bref passage, hum je vois que j'ai bien fait de t'envoyer ici en suivant le poste
à+ bonne chance

g!rly · Answer

;)

tibgcfan · Answer

Ok, je fais ça de suite ^^

»»»» Presence des fichiers dans C: 
 
C:\InfoSat.txt Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
C:\WINDOWS\Prefetch\MDELK.EXE-????????.pf Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
C:\WINDOWS\system32\mdelk.exe Present!! 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
C:\WINDOWS\system32\drivers\mdelk.exe Present!! 
"C:\WINDOWS\system32\drivers\downld" Present!! 
 
»»»» Presence des fichiers dans C:\Documents and Settings\******\Application Data 
 
 
»»»» Presence d infections dans Support amovible 
 
 
 
----------- ! Recherche realisée avec success ! -----------

g!rly · Answer

re,

essaie de faire l´option 2 de findykill maintenant et post le rapport stp

@+

tibgcfan · Answer

J'ai lancé l'option 2, le pc vient de se redemarrer pour la deuxième fois, comme précisé sur l'application.
Je poste le rapport dès que le pc est redemarré ;)
Et voilà, il m'a d'abord dit que le chemin d'accès était introuvable, puis a quand même supprimé ce qu'il fallait : 

----------- /!\..... Suppression ...../!\ ----------- 
 
 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\233312.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\236281.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\249078.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\251656.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\257187.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\271437.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\272625.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\283843.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\285046.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\291734.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\291890.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\292328.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\295765.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\297125.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\297296.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\301328.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\302390.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\303812.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\306796.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\308328.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\310937.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\318265.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\325937.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\331562.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\334796.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\337156.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\340171.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\341796.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\342921.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\350625.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\354921.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\365078.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\369203.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\370953.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\372953.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\374468.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\377625.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\378109.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\380875.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\385031.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\386640.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\391031.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\394015.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\395843.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\396640.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\398328.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\404343.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\407406.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\408203.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\412031.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\419125.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\440531.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\449812.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\455625.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\456421.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\466000.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\470359.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\471781.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\482750.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\489437.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\501187.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\508578.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\508609.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\511500.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\512390.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\512937.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\513609.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\525437.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\526296.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\526843.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\529921.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\536093.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\552921.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\565203.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\574906.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\584687.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\592734.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\599953.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\602671.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\607296.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\608109.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\614890.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\621671.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\622859.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\623531.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\632750.exe" 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld\653046.exe" 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\****\Application Data 
 
 
 
 
---------- /!\..... Second passage ...../!\ ---------- 
 
 
 
 
»»»» Suppression des fichiers dans C: 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\****\Application Data 
 
 
 
------------ /!\..... Verification...../!\ ------------- 
 
 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\****\Application Data 
 
 
 
»»»» Suppression des clefs du registre.. 
 
 
 
»»»» Suppression des fichiers dans Support amovible 
 
 
 
---------- ! Nettoyage realisé avec succès ! ---------- 
 
 
»»»» Recherche d autres infections : 
 
 
C:\DOCUME~1\****~1\Cookies\*****@coolcracks.co.funpic[1].txt
C:\DOCUME~1\****~1\Mes documents\mr ****\Mes documents\sauvegarde ****\Mes documents\crack
C:\DOCUME~1\****~1\Recent\Crack.lnk

g!rly · Answer

ók ;)

tibgcfan · Answer

Apparemment il y avait pas mal de choses à virer, j'espere que il a fait le maximum, en attendant, toujours rien de changé ...

g!rly · Answer

ok

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\DOCUME~1\****~1\Cookies\*****@coolcracks.co.funpic[1].txt
C:\DOCUME~1\****~1\Mes documents\mr ****\Mes documents\sauvegarde ****\Mes documents\crack
C:\DOCUME~1\****~1\Recent\Crack.lnk

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

tu te connectes en wifi ?

@+

tibgcfan · Answer

Ok tout de suite merci ^^
Oui, je me connecte en wifi, mes deux pc portables sont en wifi et le pc infecté est relié à un modem, qui partage cette connection

g!rly · Answer

ok 

apres avoir passé ot_move it

regarde ceci pour reparer la connection :

https://forum.malekal.com/viewtopic.php?f=60&t=7382

repasse apres pour me dire

@+

tibgcfan · Answer

Je viens de finir la suppression, je vais voir en redemarrant mon pc, mais avant de se redemarrer, il m'a fait part d'une erreur, comme quoi il serait impossible de créér le log ... je vais voir ça et je te dis ^^
En revanche, merci beaucoup pour le lien, mais il ne correspond pas à mon problème, car internet marche,  par exemple pour les jeux pc en reseaux, mais en revanche, ne s'execute pas . 

EDIT:au demarrage de mon pc, celui ci me dit " cannot open file F:\_OTMovedfiles\09102008_172110.log

g!rly · Answer

ok

t´as un cd de réinstallation pour ton wifi ?

@+

tibgcfan · Answer

Euh non je ne crois pas ... mais ça marche très bien sur les pc portable donc je ne sais pas si le problème vient de là ... Je vais essayer de trouver le log OTMovedfiles mais je crois que cela n'a pas pu fonctionner ...

g!rly · Answer

ok

tibgcfan · Answer

J'avoue que je commence à desesperer ... C'est normal que ça ne marche toujours pas ? Après tous ces scans et suppressions d'infections ? 
En tout cas merci encore pour toute ton aide ^^

g!rly · Answer

C´est une infection assez coriace...

pour le moment l´infection doit être neutralisé...

il reste a virer les cracks que tu as telechargés qui ont crés l´infection avant qu´il ne te reinfectent et a rétablir ta connexion

franchement tu dois savoir si tu as le cd d´installe de ta wifi ! non ?

@+

tibgcfan · Answer

Du niveau des infections, il me dit toujours que ... n'est pas une application win32 valide ...
Pour le cd de wifi, je l'ai c'est sur, mais je l'ai cherché l'autre jour, sans succès pourquoi ? Internet marche, c'est juste les naviguateurs qui ne s'executent pas ^^Sinon, je ne vois pas cmment faire pour virer ces cracks ... puisque le dernier conseil que tu m'as donné n'a apparemment pas fonctionné ...

g!rly · Answer

bon 

passe combofix en le renomant en killbagle avant de l´enrregistre sur ton bureau

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+

tibgcfan · Answer

Euh j'ai encore un problème. J'ai renommé combofix, en killbagle, l'ai gravé sur un cd pour le transmettre à mon pc infecté. Seulement, une fois sur le pc infecté, il n'a pas voulu l'executer à cause du fait que je l'aie renommé ... Je l'ai donc re-renommer Combofix et il s'est éxécuté. Seulement je viens d'eteindre mon pc en marche forcée, acr alors qu'il avait supprimé pas mal de fichiers, j'ai vu sur un autre site qu'il était impératif de le renommer, sinon ne pas aller plus loin ... Que faire ?

EDIT : je vais attendre ta réponse avant de retenter quoi que ce soit, j'ai un peu peur, je l'avoue, que ce logiciel soit un peu dangereux. Sinon, j'avais essayé avec le combo donné sur le lien de ce site, car il devait être renommé, mais la fenêtre bleue de l'application se demarre, et rien ne se passe, donc j'attend, je prefère etre prudent et ne rien agraver ...

g!rly · Answer

salut tibgcfan,

si combofix passe sans le renommer, passe le ainsi et post son rapport; il n´y a pas de risque ;)

@+

tibgcfan · Answer

Ok ^^
Pour ce qui est de la connexion internet je suppose qu'il la déconnecte tout seul ? Et aucun risque non plus de ce côté là ? Vu que mes deux autres pc sont en wifi avec celui infecté qui est relié au modem, je fais gaffe à ça ^^ Au moins rester avec internet sur les autres pc -_-

g!rly · Answer

débranche ton modem le temps de le passer...

tibgcfan · Answer

Ah ... je ferais ça ce soir alors ... 
Sinon, est ce que tout cela a un rapport avec la non execution d'internet ? Parce que lors de la première fois que ça m'est arrivé, le simple fait de virer norton a suffit, et tout recemment hier, sur un autre pc, le fait de virer aussi norton a tout changé. La sur le pc infecté je ne l'ai plus, mais est ce que un logiciel de ce genre peut avoir incidence ? Parceque mes deux autres pc en wifi fontionnent, c'est ça que je ne comprend pas ...

g!rly · Answer

Le par feu peu bloquer internet si il est mal configuré oui
@+

tibgcfan · Answer

Ok, merci, je vais voir pour ça et le reste je poste le log ce soir si possible ;)

g!rly · Answer

ok ;)

tibgcfan · Answer

Voilà, enfin ^^ Toujours rien de changé, normal je pense ... Est ce que je devrais faire une recherche dans mon pc afin de supprimer le crack manuellement ? car il est, je pense toujours là ... ComboFix 08-09-10.04 - **** 2008-09-11 21:03:48.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.168 [GMT 2:00] Endroit: C:\Documents and Settings\****\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-11 to 2008-09-11 )))))))))))))))))))))))))))))))))))) . 2008-09-10 18:21 . 2008-09-10 18:21 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys 2008-09-10 18:20 . 2008-09-10 18:24 d-------- C:\Program Files\The Cleaner Free 2008-09-09 20:43 . 2008-09-10 15:13 d-------- C:\KB 2008-09-04 18:12 . 2008-09-04 18:12 d-------- C:\Documents and Settings\Tib\Profiles 2008-09-04 10:43 . 2008-09-04 10:43 d-------- C:\EDT 2008 2008-09-04 10:43 . 2008-09-04 10:43 d-------- C:\Documents and Settings\Tib\Application Data\InstallShield 2008-08-31 15:50 . 2008-09-11 18:21 d-------- C:\Program Files\Tennis Elbow 2008 2008-08-31 15:16 . 2008-09-11 18:21 d-------- C:\Program Files\Tennis Elbow 2006 2008-08-23 16:25 . 2008-08-23 16:25 d-------- C:\Documents and Settings\*****\Application Data\Leadertech 2008-08-14 11:42 . 2008-08-14 11:42 d-------- C:\Documents and Settings\Tib\Application Data\dvdcss 2008-08-14 11:03 . 2008-08-14 11:03 d-------- C:\Fraps 2008-08-14 11:03 . 2008-08-14 11:44 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-11 16:58 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-09-11 16:52 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-09-11 16:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-09-11 11:15 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS 2008-09-10 19:04 --------- d-----w C:\Documents and Settings\****\Application Data\uTorrent 2008-09-10 12:10 --------- d-----w C:\Program Files\PeerTV 2008-09-09 19:24 --------- d-----w C:\Program Files\Fichiers communs\Talkway 2008-09-09 19:18 --------- d-----w C:\Documents and Settings\*****\Application Data\Kind corn first 2008-09-08 17:12 --------- d-----w C:\Documents and Settings\Tib\Application Data\SPAMfighter 2008-09-07 16:11 --------- d-----w C:\Documents and Settings\Tib\Application Data\**** 2008-09-06 19:00 313,568 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-06 19:00 23,699,232 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-06 16:01 --------- d-----w C:\Program Files\Zattoo 2008-09-04 08:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-23 15:26 --------- d-----w C:\Documents and Settings\*****\Application Data\uTorrent 2008-08-17 18:07 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-08-13 16:49 --------- d-----w C:\Program Files\Microsoft Games 2008-08-12 09:22 --------- d-----w C:\Program Files\***** 2008-08-10 08:35 --------- d-----w C:\Program Files\***** 2008-08-07 07:44 --------- d-----w C:\Program Files\PC Inspector File Recovery 2008-08-04 16:52 --------- d-----w C:\Program Files\Fichiers communs\DVDVIDEOSOFT 2008-08-04 13:43 --------- d-----w C:\Program Files\BroadJump 2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR 2004-12-09 16:08 257,118,814 ----a-w C:\Documents and Settings\*****\Mes documents.zip 2004-12-09 16:07 3,217 -c--a-w C:\Documents and Settings\****\Mes documents.zip 2005-11-17 08:50 56 -csh--r C:\WINDOWS\system32\B970272705.sys 2005-11-17 08:50 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360] "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-29 4603904] "EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304] "BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912] "Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CAMTRAY.EXE" [2004-07-30 245760] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152] "SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976] "MAAgent"="C:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424] "Ulead AutoDetector v2"="C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2008-09-09 90112] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-09-09 919016] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 413696] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Dit"="Dit.exe" [2004-04-02 C:\WINDOWS\Dit.exe] "CHotkey"="zHotkey.exe" [2004-05-17 C:\WINDOWS\zHotkey.exe] "nwiz"="nwiz.exe" [2004-09-29 C:\WINDOWS\system32 wiz.exe] "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 C:\WINDOWS\AGRSMMSG.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 C:\WINDOWS\KHALMNPR.Exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= "C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= DivXa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal ga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\WINDOWS\system32\sessmgr.exe"= "C:\WINDOWS\system32\fxsclnt.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"= "C:\Program Files\Real\RealPlayer\realplay.exe"= "C:\WINDOWS\system32\muzapp.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\SopCast\SopCast.exe"= "C:\Documents and Settings\Tib\Application Data\SopCast\adv\SopAdver.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\****\****.exe"= "D:\Ma musique\****\****.exe"= R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000] S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2004-11-03 13332] S2 LogWatch;Event Log Watch;C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe [2008-09-09 53248] S3 CA_LIC_CLNT;Client de licence CA;C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824] S3 CA_LIC_SRVR;Serveur de licence CA;C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-09-11 13440] S3 se57bus;Sony Ericsson Device 087 driver (WDM);C:\WINDOWS\system32\DRIVERS\se57bus.sys [2006-11-30 61536] S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se57mdfl.sys [2006-11-30 9360] S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se57mdm.sys [2006-11-30 97088] S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se57mgmt.sys [2006-11-30 88624] S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);C:\WINDOWS\system32\DRIVERS\se57nd5.sys [2006-11-30 18704] S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se57obex.sys [2006-11-30 86432] S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);C:\WINDOWS\system32\DRIVERS\se57unic.sys [2006-11-30 90800] S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672] S4 Boonty Games;Boonty Games;C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d88632f-269b-11d9-b2c3-000c76adb999}] \Shell\AutoRun\command - @%systemroot%\explorer.exe /e,. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1540b92a-2cb5-11d9-9c60-00110949a3d1}] \Shell\AutoRun\command - @%systemroot%\explorer.exe /e,. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46e21b24-2d4e-11d9-9c66-00110949a3d1}] \Shell\AutoRun\command - @%systemroot%\explorer.exe /e,. [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}] rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' . - - - - ORPHANS REMOVED - - - - HKCU-Run-WMPNSCFG - C:\Program Files\Windows Media Player\WMPNSCFG.exe HKLM-Run-vmtalk - C:\Program Files\Fichiers communs\Talkway\vmtalk.exe HKLM-Run-Workflow - F:\install\Workflow.exe HKLM-Run-iTunesHelper - C:\Program Files\iTunes\iTunesHelper.exe HKLM-Run-Cmaudio - cmicnfg.cpl HKU-Default-RunOnce-^SetupICWDesktop - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Tib\Application Data\Mozilla\Firefox\Profiles\13ljpn7u.default\ FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer pzylomgamesplayer.dll FF -: plugin - C:\Program Files\DNA\plugins pbtdna.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava11.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava12.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava13.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava14.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava32.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJPI142.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPOJI610.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins pbittorrent.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-11 21:27:11 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... C:\Documents and Settings\Tib\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1091 bytes hidden from API Scan termin‚ avec succŠs Les fichiers cach‚s: 1 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\WINDOWS\system32 undll32.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Microsoft Office\Office\OSA.EXE C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\HPZipm12.exe . ************************************************************************** . Temps d'accomplissement: 2008-09-11 21:35:44 - machine was rebooted [Tib] ComboFix-quarantined-files.txt 2008-09-11 19:35:35 Pre-Run: 33,374,949,376 octets libres Post-Run: 34,733,391,872 octets libres 218 --- E O F --- 2008-09-10 19:10:59

g!rly · Answer

resalut,

oui supprime le crack ou les cracks ;)

tu n´as toujours pas pu mettre la main sur ton cd de reinstalle de la wifi ?

@+

tibgcfan · Answer

Re, non :'(
Je dois faire quoi à présent ? je tente de trouver les dossiers qui présentaient un crack, c'est assez dur ^^'

tibgcfan · Answer

Alors apparemment, il n'y a plus rien :)
Mais ça ne marche toujours pas :'( ce serait trop beau ...

g!rly · Answer

tu t´en souviens plus ? 

ton antivirus c´est norton c´est ca ?

tibgcfan · Answer

Non, je n'en ai plus pour l'instant et les cracks, j'ai tapé les adresses donées préedemment par un scan ( c:/DOCUME~1...) et il n'y a plus rien :)

g!rly · Answer

je sais plus quoi te dire, car je ne sais pas réparer le wifi, sans le cd, et si la manip sur le site de malekal ne fonctionne pas ;(

tibgcfan · Answer

Je comprend ... et pour le reste, normal que ... n'est pas une application win32 soit toujours là ? Parce que pour ce qui est d'internet, je me débrouillerais je pense ce n'est pas le plus grave du coup ;)

g!rly · Answer

bah il ne devrait plus etre la ;)

ou est relancé par ton crack, qu´il faudrait denicher avec un scan en ligne mais tu voies le bins...

repasse findykill pour voir l´option 1 stp

@+

tibgcfan · Answer

Aie Aie ... bon tout de suite ^^

g!rly · Answer

ok ;)

tibgcfan · Answer

Je poste le log et je reviens demain bonne fin de soirée !

 
----------------- FindyKill V3.075 -----------------  


Recherche effectuée à 22:26:31 le 2008-09-11
Emplacement : F:\FindyKill\FindyKill.bat
Outils Mis a jours le 11/09/08
 
 
----------------- *** Recherche *** ------------------ 
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Tib\Application Data 
 
 
»»»» Presence d infections dans Support amovible : 
 
 
 
----------- ! Recherche realisée avec success ! -----------

g!rly · Answer

y a plus d´infection...

pour le scan on peut surement y arriver comme ca :

escan :

Étape 1:
Télécharge eScan Antivirus Toolkit ici:

http://www.spywareinfo.dk/download/mwav.exe

Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Tutoriel :

http://www.malekal.com/tutorial_eScan_antivirus_toolkit.php 

bonne fin de soirée egalement `

@+

Utilisateur anonyme · Answer

Salut tibgcfan

Telecharge ce fichier sur ton bureau

extrait le sur ton bureau

--->double clic sur tibgcfan.bat

une fenetre noire va apparaitre et disparaitre c est normal

ensuite redémarre le pc et test ta connection

tibgcfan · Answer

Je sis vos conseils dès que je peux, ce soir e retrant donc vers 17h30.
Euh Chiquitine, déjà merci de me venir en aide, ce que tu me proposes, c'est pour essayer de remettre internet ?

Utilisateur anonyme · Answer

Salut,

ce que tu me proposes, c'est pour essayer de remettre internet ?

-->Oui et dau tres services qui ont été stoppé par ton infection

tibgcfan · Answer

ok, donc je suis en train de aire la manip en mode sans échec et j'essaie après ^^

tibgcfan · Answer

Alors, je viens de finir la mise à jour, qui s'est effectuée sans encombre, seulement, je n'ai aucun objet ni dans le dossier BASES ni dans le dossier DOWNLOADS ... C'est normal ?

tibgcfan · Answer

Est ce que je dois quand même faire le scan ? 

Merci

g!rly · Answer

Salut, 

Excuse pour le délais, 

tu as retrouvé ta connexion ?

@+

tibgcfan · Answer

Non , je n'ai pour l'instant rien fait ^^
J'ai essayé de mettre en mode sans echec avec la touche f8, ça ne marche pas, est-il quand même possible de le faire manuellement, sachant que j'ai vu que ça pouvait être dangereux sur un pc infecté ?

g!rly · Answer

salut, 

essaie de passer ceci comme te l´as demandé Chiquitine, 

Salut tibgcfan

Telecharge ce fichier sur ton bureau

extrait le sur ton bureau

--->double clic sur tibgcfan.bat

une fenetre noire va apparaitre et disparaitre c est normal

ensuite redémarre le pc et test ta connection 

après on verra pour la suite...

@+

tibgcfan · Answer

Je viens de le faire, à l'instant, je dis ça tout de suite ^^

g!rly · Answer

ok

tibgcfan · Answer

Ca marche ! Internet je parle, j'essaie d'installer un antivirus, et je reposte dans 1 heure à peu près, je dois aller chez le dentiste :s

g!rly · Answer

Cool pour internet, pas cool pour le dentiste ;) aie aie aie` hi hi`

installes celui ci :

et fais un scan e mode sans echec :

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

Reglages :

en image :

http://speedweb1.free.fr/frames2.php?page=tuto5

mes explications :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
ceux qui ne voie pas root kit search : clcik sur le parapluie dans ta barre des tache > dans la fenetre d´antivir click sur local protection click en suite sur scanner
dans la fenetre de droite : tu a rootkit search vers le bas > tu developpe en appuyant sur le petit +
et coche tes disques...
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

@+

tibgcfan · Answer

Re
Je vais deja telecharger et installer Antivir, faire les reglages, et je verrai pour le scan en mode sans echec après ;)

g!rly · Answer

Ok
Ps : alors ce/tte dentiste par trop méchant/e ?
@+

tibgcfan · Answer

Oh il est nul mais j'ai commencé les soins chez lui alors ... il m'a fait une anesthesie hyper douloureuse, qui, en plus n'a servi à rien, alors j'ai souffert pendant qu'il me "soignait", il a du m'en refaire deux autres .. bref lol

Sinon, comme je disais, la mise en route du mode sans echec manuellement, c'est possible ? Et sinon, les applications genre Hijack ... ne s'executent toujorus pas

g!rly · Answer

l´incompétent !!! Change de crémerie ;)
bon exécute le scan d´antivir en mode normal alors, pour un début.
@+

tibgcfan · Answer

Ok, tout de suite ^^

tibgcfan · Answer

Voilà c'est fait, tout marche bien, plus de problèmes je pense ^^

Donc vraiment MERCI pour ton aide et surtout ta patience ^^

Merci encore c'est super sympa de ta part et merci Chiquitine ;)

tibgcfan · Answer

Aie ... ça me dit toujours que ... n'es pas une application win32 valide :s

Utilisateur anonyme · Answer

Salut, pour avancer G!rly

* pour supprimer les outils/fix utilisés : 

Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

tibgcfan · Answer

Ok, je vais essayer, mais avant j'ai toujours un problème, puisque internet est bien revenu mais ne s'execute que quelques minutes, comme je le dis dans mon tout premier message. Il s'execute puis après le délai d'attente est sans arrêt dépassé ... que dois-je faire ?

tibgcfan · Answer

Il y a aussi semble t-il toujours un problème avec l'application win 32 non valide.

tibgcfan · Answer

Désolé du triple post, mais c'est histoire de relancer le truc ^^'
J'en ai vraiment marre de ce pc qui ne marche plus, alors j'ai pris mon courage à 2 mains et j'ai recommencé à le traiter. Je vais donc, après avoir réparé, je pense le mode sans echec, passer un coup avec Malwarebytes Anti Malware, puis ensuite avec mvav.exe, comme Girly me l'avait conseillé, mais n'ayant pu le faire car le mode sans echec ne fonctionnait plus. Je poste les rapports et tout ce qu'il faut après ^^

PS: en fait je vais faire une analyse en ligne, car le mode sans echec avec f8 ne marche toujours pas ... j'avais essayé de le réparer avec safeboot_sp1 ... :'( :'( je desespere de me débarasser de cette saleté ...

Lyonnais92 · Answer

Bonjour,

essaye comme ça :

télécharge combofix (par sUBs) ici  avec internet explorer:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau sous le nom tibgcfan. Change le nom avant qu'il soit enregistré (lors de l'ouverture de la fenêtre qui te demande où et à quel nom tu veux l'enregistre)r

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

tibgcfan · Answer

Ok, merci, je fais ça ce soir.
La console de réparation, c'est important de l'installer ? Parce que je me suis déjà servi de combofix 3 fois sans ?

Lyonnais92 · Answer

Re,

le cré&ateur de Combofix insiste pour que l'utilisateur installe la console de récupération.

Cela facilite la suite en cas de plantage grave du système.

C'est toi qui décides.

tibgcfan · Answer

Ok, je l'installerai alors, je perd rien ^^
Je fais tout ça dans une heure

tibgcfan · Answer

Voilà le rapport : ComboFix 08-10-04.07 - Tib 2008-10-05 20:57:47.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.174 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Tib\Bureau ibgcfan.exe Commutateurs utilisés :: C:\Documents and Settings\Tib\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Legacy_MCHINJDRV -------\Service_Boonty Games ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-05 au 2008-10-05 )))))))))))))))))))))))))))))))))))) . 2008-09-25 13:49 . 2008-09-25 13:49 d--hs---- C:\Documents and Settings\Tib\PrivacIE 2008-09-25 13:35 . 2008-09-25 13:37 d--h-c--- C:\WINDOWS\ie8 2008-09-25 12:32 . 2008-09-25 12:32 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-09-25 12:32 . 2008-09-25 12:32 d-------- C:\Documents and Settings\Tib\Application Data\Malwarebytes 2008-09-25 12:32 . 2008-09-25 12:32 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-09-25 12:32 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-25 12:32 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-20 18:57 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-09-20 18:56 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-09-20 18:56 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache mcast.sys 2008-09-20 18:42 . 2008-09-20 18:42 d-------- C:\WINDOWS\system32\fr 2008-09-20 18:42 . 2008-09-20 18:42 d-------- C:\WINDOWS\l2schemas 2008-09-20 18:34 . 2008-09-20 18:43 d-------- C:\WINDOWS\ServicePackFiles 2008-09-16 17:54 . 2008-09-16 17:54 d-------- C:\Program Files\Avira 2008-09-16 17:54 . 2008-09-16 17:54 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-09-12 18:06 . 2008-09-12 18:06 d-------- C:\Downloads 2008-09-12 18:06 . 2008-09-12 18:06 d-------- C:\Bases 2008-09-12 18:05 . 2008-09-12 18:06 d-------- C:\Kaspersky 2008-09-10 18:21 . 2008-09-10 18:21 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys 2008-09-10 18:20 . 2008-09-10 18:24 d-------- C:\Program Files\The Cleaner Free 2008-09-09 20:43 . 2008-09-10 15:13 d-------- C:\KB . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-05 19:10 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS 2008-09-26 17:41 --------- d-----w C:\Program Files\DivX3.11a 2008-09-26 16:49 --------- d-----w C:\Documents and Settings\******\Application Data/****** 2008-09-20 16:50 --------- d-----w C:\Documents and Settings\Tib\Application Data\***** 2008-09-11 16:58 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-09-11 16:52 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-09-11 16:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-09-10 19:04 --------- d-----w C:\Documents and Settings\******\Application Data\****** 2008-09-10 12:10 --------- d-----w C:\Program Files\PeerTV 2008-09-09 19:24 --------- d-----w C:\Program Files\Fichiers communs\Talkway 2008-09-09 19:18 --------- d-----w C:\Documents and Settings\******\Application Data\Kind corn first 2008-09-08 17:12 --------- d-----w C:\Documents and Settings\Tib\Application Data\SPAMfighter 2008-09-06 19:00 313,568 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-06 19:00 23,699,232 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-06 16:01 --------- d-----w C:\Program Files\Zattoo 2008-09-04 08:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-04 08:43 --------- d-----w C:\Documents and Settings\Tib\Application Data\InstallShield 2008-08-27 09:40 --------- d-----w C:\Program Files\DivX 2008-08-23 15:26 --------- d-----w C:\Documents and Settings\******\Application Data\***** 2008-08-23 14:25 --------- d-----w C:\Documents and Settings\******\Application Data\Leadertech 2008-08-17 18:07 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-08-14 09:44 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-08-14 09:42 --------- d-----w C:\Documents and Settings\Tib\Application Data\dvdcss 2008-08-13 16:49 --------- d-----w C:\Program Files\Microsoft Games 2008-08-12 09:22 --------- d-----w C:\Program Files\***** 2008-08-10 08:35 --------- d-----w C:\Program Files\****** 2008-08-07 07:44 --------- d-----w C:\Program Files\PC Inspector File Recovery 2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR 2004-12-09 16:08 257,118,814 ----a-w C:\Documents and Settings\******\Mes documents.zip 2004-12-09 16:07 3,217 -c--a-w C:\Documents and Settings\******\Mes documents.zip 2005-11-17 08:50 56 -csh--r C:\WINDOWS\system32\B970272705.sys 2005-11-17 08:50 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-29 4603904] "EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304] "BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912] "Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CAMTRAY.EXE" [2004-07-30 245760] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152] "SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976] "MAAgent"="C:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424] "Ulead AutoDetector v2"="C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2008-09-09 90112] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-09-09 919016] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 413696] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Dit"="Dit.exe" [2004-04-02 C:\WINDOWS\Dit.exe] "CHotkey"="zHotkey.exe" [2004-05-17 C:\WINDOWS\zHotkey.exe] "nwiz"="nwiz.exe" [2004-09-29 C:\WINDOWS\system32 wiz.exe] "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 C:\WINDOWS\AGRSMMSG.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 C:\WINDOWS\KHALMNPR.Exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-20 110592] Docteur Club Internet.lnk - C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe [2005-01-19 217088] D‚marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1997-08-29 51984] D‚marrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= "C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= DivXa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal ga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\WINDOWS\system32\sessmgr.exe"= "C:\WINDOWS\system32\fxsclnt.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"= "C:\Program Files\Real\RealPlayer\realplay.exe"= "C:\WINDOWS\system32\muzapp.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\SopCast\SopCast.exe"= "C:\Documents and Settings\Tib\Application Data\SopCast\adv\SopAdver.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\******\*****.exe"= "D:\Ma musique\******\******.exe"= "C:\Kaspersky\kavupd.exe"= "%windir%\system32\sessmgr.exe"= R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000] S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2004-11-03 13332] S2 LogWatch;Event Log Watch;C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe [2008-09-09 53248] S3 CA_LIC_CLNT;Client de licence CA;C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824] S3 CA_LIC_SRVR;Serveur de licence CA;C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-05 13440] S3 se57bus;Sony Ericsson Device 087 driver (WDM);C:\WINDOWS\system32\DRIVERS\se57bus.sys [2006-11-30 61536] S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se57mdfl.sys [2006-11-30 9360] S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se57mdm.sys [2006-11-30 97088] S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se57mgmt.sys [2006-11-30 88624] S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);C:\WINDOWS\system32\DRIVERS\se57nd5.sys [2006-11-30 18704] S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se57obex.sys [2006-11-30 86432] S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);C:\WINDOWS\system32\DRIVERS\se57unic.sys [2006-11-30 90800] S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d88632f-269b-11d9-b2c3-000c76adb999}] \Shell\AutoRun\command - @%systemroot%\explorer.exe /e,. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1540b92a-2cb5-11d9-9c60-00110949a3d1}] \Shell\AutoRun\command - @%systemroot%\explorer.exe /e,. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46e21b24-2d4e-11d9-9c66-00110949a3d1}] \Shell\AutoRun\command - @%systemroot%\explorer.exe /e,. [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}] rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub . Contenu du dossier 'Tâches planifiées' 2008-10-05 C:\WINDOWS\Tasks\A559E880918A9E74.job - c:\docume~1\guybru~1\applic~1\kindco~1\deletemealplatform.exe [] 2008-10-05 C:\WINDOWS\Tasks\AC7AE60A918598FE.job - c:\docume~1\patric~1\applic~1\kindco~1\deletemealplatform.exe [] 2008-04-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] 2008-06-17 C:\WINDOWS\Tasks\At1.job - C:\WINDOWS\dr.exe [] 2008-08-17 C:\WINDOWS\Tasks\At2.job - C:\WINDOWS\patcher.exe [] 2008-08-17 C:\WINDOWS\Tasks\At3.job - C:\WINDOWS\widupdate.exe [] 2008-02-17 C:\WINDOWS\Tasks\At4.job - C:\WINDOWS\user32.exe [] 2008-01-17 C:\WINDOWS\Tasks\At5.job - C:\WINDOWS\user32.exe [] 2008-09-17 C:\WINDOWS\Tasks\At6.job - C:\WINDOWS\dr.exe [] . . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\Tib\Application Data\Mozilla\Firefox\Profiles\13ljpn7u.default\ FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer pzylomgamesplayer.dll FF -: plugin - C:\Program Files\DNA\plugins pbtdna.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava11.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava12.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava13.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava14.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJava32.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPJPI142.dll FF -: plugin - C:\Program Files\Java\j2re1.4.2\bin\NPOJI610.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins pbittorrent.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-05 21:09:24 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... C:\Documents and Settings\Tib\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1091 bytes hidden from API Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Heure de fin: 2008-10-05 21:20:52 - La machine a redémarré ComboFix-quarantined-files.txt 2008-10-05 19:20:39 ComboFix2.txt 2008-09-26 18:13:42 ComboFix3.txt 2008-09-11 19:35:45 Avant-CF: 36,490,797,056 octets libres Après-CF: 36,445,134,848 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn 257 --- E O F --- 2008-09-21 16:24:53

Lyonnais92 · Answer

Re,

vérifie que kaspersky est lancé et est en garde résidente.

Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

tibgcfan · Answer

Je 'y met de suite. Par contre je vais supprimer kaspersky, car je me rend compte que j'ai déjà Antivir d'installé, et qu'il vaut mieux n'avoir qu'un seul antivirus ...

Lyonnais92 · Answer

Bonjour,

exact.

choisis Antivir, sauf si tu payes Kaspersky.

tibgcfan · Answer

SmitFraudFix v2.356

Rapport fait à 19:04:49.93, 2008-10-06
Executé à partir de C:\Documents and Settings\Tib\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Documents and Settings\Tib\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Tib


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Tib\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Tib\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Lyonnais92 · Answer

Re,

==================================

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

================================

Comment va l'ordi ?

tibgcfan · Answer

Re, pour l'instant aucun changements :'(
Et pour ce que tu m'as proposé, le mode sans echec n'est plus opérationnel, comment je fais ? 



Merci de ton aide ^^

Lyonnais92 · Answer

Re,

fais le en mode normal.

Redonne moi la liste des dsyfonctionnements.

tibgcfan · Answer

Ok, mais je ferai tout ça demain ;)

Alors en fait : 

Internet est opérationnel, mais une fois en train de surfer via le navigateur, il s'éxécute quelques minutes puis dit que le délai d'attente est dépassé.

Les applications telles HiJackThis ne s'éxécutent plus, car " ne sont pas des applications win32 valide ..."

Le mode sans échec n'apparaît apparemment plus avec la touche f5 ou f8 ...

Lyonnais92 · Answer

Re,

désinstalle ou supprime Hijackthis.

Réinstalle le comme ça :

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

tibgcfan · Answer

Je fais tout cela demain, merci de ton aide .

A++ ( j'ai oublié de préciser que c'est aussi toutes les applications autres que HJT, genre ZoneAlarm etc ... )

Lyonnais92 · Answer

Re,

toutes ou certaines ?

De toute manière si désinstaller réinstaller Hijackthis répare le problème, on appliquera la même solution aux autres : elles ont été détruites par bagle.

tibgcfan · Answer

Pas toutes en fait, certaines comme Spybot, Antivir se sont bien installées. Je fais la réinstallatin cet aprem et je te tiens au courant, et poste aussi le log si ça a marché ^^

Lyonnais92 · Answer

Bonjour,

OK, je serai là.

tibgcfan · Answer

Re, 
Voilà le log HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:08, on 2008-10-07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour-multimedia.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093333169531
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigma_4_5_50/ImageUploader4.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.fr/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.3suissesphotos.fr/Components/Upload/ImageUploader3.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - 
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.girafoto.fr/uploaders/ImageUploader3.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://gamenextfr.oberon-media.com/online/online2/diner_dash/DinerDash.1.0.0.80.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/6540/defaults/activex/IPSUploader.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUpload.ocx
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonjour,

 le rapport est propre.

Quelles sont les applis à réinstaller ?

Le mode sans échec ne fonctioinne pas ?

tibgcfan · Answer

Eh bien, dans l'absolu je crois que c'est tout ... le mode sans echec non, je ne crois pas, mais je vais essayer ^^

EDIT : je crois bien essayer de le démarrer comme il faut, en appuyant sur f8 ou f5 avant l'apparition de la barre de chargement Windows, mais rien ne se passe ..

Lyonnais92 · Answer

Re,

on v y aller bestialement :

  Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le Bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

Et réessaye le mode sans échec.

tibgcfan · Answer

Ok, j'essaie ça demain, seulement, j'ai déjà utilisé cet utilitaire 2 fois, rien de changé, mais je vais reesayer ...

Lyonnais92 · Answer

Re,

c'est un ordi de marque ?

Dans la procédure de démarrage, on ne te propose pas de cliquer sur une touche pour accéder aux fonctions avancées de démarrage ? Si oui, fais le. Tu devrais avoir la procédure de démarrage en mode sans échec.

N'oublie pas que la procédure peut être longue (tu as un écran noir avec un tiret blanc en haut à gauche qui clignote, tant que ça clignote, l'ordi travaille).

tibgcfan · Answer

Oui oui, c'est un pc de marque et on me propose de cliquer sur F8 pour accéder aux modes avancés. 
Je vais essayer avec un autre clavier pour voir, celui a les touches F à personnaliser , ce qui n'a jamais été fait et qui ne marchent qu'une fois sur 2, je vais voir cela.
Ceci dit, Internet ne s'éxécute toujours presque pas ...

Lyonnais92 · Answer

Bonjour,

si tu cliques sur F8, il ne te donne pas une procédure pour démarrer en mode sans échec ?

tibgcfan · Answer

Non, rien ne se passe ...

Lyonnais92 · Answer

Bonjour,

la notice d'emploi ne te dis pas comment faire ? 

As tu déjà activé le mode sans échec ?

Pour Internet, fais redémarrer l'ordi.

Des améliorations ?

tibgcfan · Answer

Internet, non, ça m'a toujours fait ça, après un redemarrage, ça marche quelques minutes puis plus rien .
Oui, j'ai déjà activé le mode sans echec, mais je vais quand même essayer avec un autre clavier pour voir ...

micky54200 · Answer

salut, sa doit etre un trojan (cheval de troie) que t'as ! C'est super important si t'attend trop il peut infecter tout tes fichiers! Moi j'en avait un et j'ai du reformater mon ordinateur! pour récupérer les fichiers que tu veut garder il faut que tu les mette dans le disque dur D ou sinon tu le met sur une clef usb ( personnellement je prefere la clef!) et la tu met le cd de réinstallation de ton pc si tu en as un et tu le réallume et la la réinstallation vas se faire automatiquement... Si tu n'en as pas tu rallume ton ordi et la tu appuie sur F4 je crois et il doit y avoir réinstallation partielle du systeme d'exploitation, la tu clique desus et la réinstallation va s'exécuter et ton ordi est remis a zeros!

tibgcfan · Answer

Bonjour, 
c'est à dire que si j'appuie sur f4 et que je fais ce que tu m'as dit, il n'y aura plus rien dans mon pc, et que je devrais tout réinstaller en suite ? Je dois le reformater ?

Lyonnais92 · Answer

Re,

ça m'étonnerait que tu sois encore infecté avec tous les logiciels que tu as passé !

Micky est sympa, mais il n'y connait pas grahd chose.

je pense que les infections ont abimé le registre.





télécharge Zeb Restore

hxxp://telechargement.zebulon.fr/zeb-restore.html

https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153

Fais un clic droit et dézippe.


Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

tibgcfan · Answer

Merc, je le fais dans 2 heures environ.

Ca me rassure un peu je dois dire ^^

tibgcfan · Answer

Je viens de le faire, il me dit : " Impossible d'exporter temp.reg : erreur d'ouverture du fichier.Il pourrait y avoir une erreur de disque ou de fichier système"

Je réponds en début d'aprem^^

Lyonnais92 · Answer

Re,

Tu as bien dézippé ?

Tu as un dossier avec Zeb-restore.exe ?

Au double clic, une page sur fond bleu s'ouvre ?

Coche seulement Réparation IE et exécute.

tibgcfan · Answer

Oui, j'ai bien dézippé, et au double clic, j'ai la fenêtre me proposant les éléments à restaurer .
Déjà, le bureau a bien été restauré, car il n'y a plus de fond d'écran.
Je reesaie pour Internet Explorer dans un premier temps.

EDIT : ça ne marche pas non plus ...

tibgcfan · Answer

J'ai enfin changé de clavier et j'ai accès au mode sans echec ! Déjà un bon point non ? =)
Donc que dois-je faire à présent ?

Lyonnais92 · Answer

Re,

ça ne marche pas non plus ...

Ca ne change rien ou tu as le message Impossible d'exporter temp.reg ?

tibgcfan · Answer

J'ai toujours le message ...

Lyonnais92 · Answer

Re,

je n'avais pas vu ton dernier message.

C'est une bonne nouvelle oui !!!

Quelle différence , un usb et l'autre filaire ?

tibgcfan · Answer

Euh je n'ai rien testé pour l'instant, je pensais qu'il fallait peut-être faire un scan ou quelque chose, historie de voir si il y avait effectivement quelque chose qu'on ne pouvait supprimer en mode normal ?

Lyonnais92 · Answer

Re,

trouve tu temp.reg ?

Si oui, clic droit, modifier. Le bloc notes s'ouvre.

Copie le contenu dans ta réponse.

tibgcfan · Answer

Ok je vais voir de suite.

tibgcfan · Answer

Bon apparemment, rien avec la recherche ...

Lyonnais92 · Answer

Re,

télécharge firefox (disponible dans les téléchargements de CCM), installe le et surfe avec.

Même problème qu'avec Internet explorer ?

Tu ne m'as pas dit (sauf erreur), la différence entre les 2 claviers (USB vs filaire ?)

tibgcfan · Answer

Re, j'ai deja firefox en fait, cest avec lui que je surfe ... pour le clavier, le premier était sans fil et les touches non configurées en fait, donc j'a tout implement branché un atre, avec USB cette fois

Lyonnais92 · Answer

Re,

donc tu as accès sans problème au mode sans échec quand le clavier est configuré.

Il ne reste plus que cette histoire d'Internet.

Comment accèdes tu ? (une box, un modem, ...)

tibgcfan · Answer

J'accède en fait grâce à un modem, relié au pc, qui partage d'ailleurs la connexion avec deux autres pc portables.
La dernière fois que cela m'est arrivé, j'ai juste eu à désinstaller mon Antivirus qui avait alors été neutralisé, Norton et tout a refonctionné ! 
Seulement, l'antivirus actuel, je l'ai réinstallé après tous ces problèmes, donc ...

Lyonnais92 · Answer

Re,

suite à ceci : http://www.infos-du-net.com/forum/287102-7-mozilla-delai-attente-depasse

désinstalle firefox, supprime les fichiers de profile, fais passer CCleaner et réinstalle Firefox.

tibgcfan · Answer

Ok je fais ça, juste un truc bizarre, j'ai désinstallé à l'instant mozilla par le panneau de configuration, ajout/suppression .. et à ce moment, il m'a dit que Mozilla avait déjà été désinstallé mais mal, et qu'il suffisait de l'enlever de la liste ...
Je passe Ccleaner et je reinstalle, je poste ensuite dans 1 heure environ pour te tenir au courant

Merci ^^

Lyonnais92 · Answer

Re,

supprime les "profile".

tibgcfan · Answer

Re, 
Où puis-je les trouver ? Dans applicationdata, il n'y a rien qui se rapporte à Mozilla ..

tibgcfan · Answer

Ca marche parfaitement 5 minutes, comme avant, puis plus rien, après réinstallation ... J'ai pourtant cru que c'était bon :'(

Lyonnais92 · Answer

Bonjour,

dans C:\Documents and settings\Tib\Loca Settings\Application  data tu n'as pas de répertoire Mozilla ?

et dans C:\Documents and settings\Al lusesr ou C:\Documents and settings\Default User non plus ?

tibgcfan · Answer

Re, 
Je vais voir ça. 
Ce serait donc une mauvaise désinstallation ?

EDIT : non, absolument rien, cependant j'ai quand même redésinstallé Mozilla

Lyonnais92 · Answer

Re,

c'est bizarre ça.

J'ai un répertoire Mozilla sous Application data, à l'intérieur un répertoire Firefox et à l'intérieur un répertoire profile.

tibgcfan · Answer

Je suis en train de faire une recherche pour voir ...
D'ailleurs, ça fait longtemps mais je n'ai pas non plus les fichiers "cookies" habituels

EDIT ; je viens de me rendre compte d'un truc trop bête ... les "profiles", il faut peut-être les enlever AVANT de supprimer Mozilla non ?

Lyonnais92 · Answer

Re,

il faut cetrainement les supprimer avant de réinstaller (et même avant de nettoyer avec CCleaner).

tibgcfan · Answer

Le problème, c'est qu'ils n'y sont pas ...

Lyonnais92 · Answer

Re,

tu as le même souci avec Internet explorer ?

Lyonnais92 · Answer

Re,

recherche Mozilla avec la fonction rechercher de Windows.

Tu trouves quoi ?

tibgcfan · Answer

Rien du tout, juste un fichier qui n'a aucun rapport ...

Lyonnais92 · Answer

Bonjour,

essaye de nettoyer comme ceci avant de réinstaller :

Télécharge la dernière version gratuite de Jv16 Power Tools ici :
http://telechargement.zebulon.fr/201-jv16-powertools.html

démo animée
http://perso.orange.fr/rginformatique/section%20virus/demo%20jv%2016%20v2.htm (merci balltrap)

Installe le.


Double clique sur l'icône créée sur le bureau,

Clique sur outil registre,

Clique sur outils puis nettoyeur de registre.

Clique sur continuer puis démarrer.

A la fin du scan, clique sur sélectionner, choisis sélection spéciale, éléments qui peuvent être supprimés sans risques.

Clique sur supprimer (en bas à droite)

Clique sur fermer autant de fois que nécessaire pour quitter Jv16.



Tu n'as pas dit si tu as le même problème avec Internet Explorer (ou j'ai zappé la réponse)

tibgcfan · Answer

Re, 
J'essaie de suite.
Le problème est en effet le même pour IE

tibgcfan · Answer

Voilà c'est fait =)

Lyonnais92 · Answer

Re,

encore un nettoyeur :

    =>[/b] Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
    -- Met le sur ton bureau

Démarre en, mode sans échec
 
    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner 

revient en mode normal.

réinstalle Firefox et réessaye.

tibgcfan · Answer

Voilà c'est fait, je redemarre, il n'y avait pas d'onglet Mozilla ni Opera

EDIT: j'ai juste un léger problème, depuis que j'ai redemarré, il y a une application Windows Installer qui arrive et qui ne veut s'annuler, qui ensuite dit que Microsoft .NET Framework ne peut s'éxécutercar "la référence d'objet n'est pas définie à une instance d'un objet ..."

Lyonnais92 · Answer

Re,

tu as le CD de Windows avec la clé à 25 caractères ?

tibgcfan · Answer

Re, 
Je ne suis pas sur.
Pourquoi ?

g!rly · Answer

Salut Lyonnais92, 

Merci pour ta grande patience; qui fait de toi ce que tu es > formidable :)

tibgcfan · Answer

Bonjour Girly !

Désolé des messages que je t'ai envoyés, je me demandais juste si tu allais revenir, mais Lyonnais92 a bien pris la relève, merci d'avance à tous les deux ;)

Lyonnais92 · Answer

Re,

parce que une réparation est peut être la meilleure solution.

Il y a visiblement pas mal de soucis. Ce que l'on vient de faire à générer un nouveau souci.

On peut essayer comme ça :

_____________________________

télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes engras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

g!rly · Answer

Salut tibgcfan,

il y a comme eu un creux dans la vague...

heureusement l´étincelle a reprise grâce à lyonnais92 :)

bonne continuation`

bye`

tibgcfan · Answer

Ok, je fais ça cet aprem ;)
Mais rien de grave ?

tibgcfan · Answer

Rien de changé, toujours l'application TRAYApp et Windows Installer qui s'execute ...

Par contre, j'ai enfin trouvé, manuellement les "profiles" et les ai supprimés.
Je relance CCleaner ?

Lyonnais92 · Answer

Bonjour,

oui, nettoye à fond et essaye la réinstallation;

tibgcfan · Answer

Je viens de lancer le nettoyage.
Une solution pour ces applications qui apparaissent ? J'ai windows installer et maintenant Tray App, qui demande un cd Tray App ...

tibgcfan · Answer

J'ai réinstallé et tout nettoyé, rien de changé, Internet ne s'execute toujours pas ..

Lyonnais92 · Answer

Re,

 ce stade, je pense que les infections ont modifié des clés ce qui entraîne tous ces dysfonctionnements.

la meilleure solution me semble une réparation de Windows (pas un formatage).

Pour cela, il faut le CD de ta version de Windows avec ta clé de 25 caractères.

tibgcfan · Answer

Ok, je vais voir si j'ai cela.
Ca ne vas rien supprimer, je n'ai pas à sauvegarder mes fichiers ?


EDIT: j'ai un cd " product recovery cd'rom" c'est cela ?

Lyonnais92 · Answer

Re,

c'est un PC de marque avec un CD de restauration (remise en état sortie usine) ?

tibgcfan · Answer

Oui, c'est un Medion.
J'ai le cd de restauration, mais je ne sais pas pour la clé à 25 caractères ..

Lyonnais92 · Answer

Re,

normalement, la clé est inscrite sur une "affichette" collée sur ton unité centrale (ou en dessous si c'est un portable) avec la mention Product key et 5 fois 5 caractères alphanumériques en majuscules.

tibgcfan · Answer

Ok, merci je l'ai trouvée. Je met le cd ?

Et y-a-t-il besoin de sauvegarder certaines choses ?

Lyonnais92 · Answer

Re,

Non,

si tu lis la doc que tu as eu lors de l'achat, tu vas voir que l'utilisation de ce CD remets ton ordi dans l'état où il était quand tu l'as acheté.

Il faut commencer par générer un CD de démarrage Windows.

Tu as les infos pour le faire ici :

http://www.webinterdit.com/content/index.php/2006/11/07/91-windows-xp-transformez-vos-cd-de-restauration-oem-en-vrais-cd-d-installation

Il faut que tu ajoutes le SP2 ou le SP3 comme indiqué pour te faciliter la tâche.

De toute manière, il serait bon que tu fasses une sauvegarde de tes fichiers persos avant d'utiliser le CD que tu auras créé.

Donc 
1) tu créés le "CD authentique de Windows"

2 tu sauvegardes tes fichiers persos (de toute manière c'est une précaution de base)

3)n tu me dis quand tout ça est fait.

tibgcfan · Answer

Ah ok ... mais y-aura-til ensuite besoin de réinstaller tout les logiciels, wifi etc ... installés ?

Lyonnais92 · Answer

Re,

la différence entre réparer Windows et formater, c'est justement de conserver ses données persos ne pas avoir à réinstaller les logiciels.

Mais je n'en jurerais pas pour des logiciels très proches du système tels que le wifi.

tibgcfan · Answer

Ah ... parce que internet sert vraiment de façon importante et professionnelle, et je n'ai plus le logiciel pour réinstaller la wifi, vu que le modem est installé sur le pc défaillant ... Il n'y a pas un autre moyen plus sur ? Parce que en plus, je ne suis pas sur d'y arriver ..

Lyonnais92 · Answer

Re,

à ce stade, je ne peux pas améliorer ma proposition.

Tu trouveras peut être de meilleurs spécialistes de windows sur le forum Windows qui sauront réparer sans risques.

tibgcfan · Answer

Ok, je vais réfléchir à ce que je vais faire.


Je te tiens au courant, en tout cas merci beaucoup pour ton aide jusqu'à maintenant :D Merci ;)

Gros problème avec Windows Xp

169 réponses

Votre réponse

Newsletters