Clavier et souris bloqués sur portable

Question

Bonjour, 

Après avoir installé « universal shield », je me suis retrouvé sans souris et sans clavier… La souris usb fonctionne mais pas le clavier.

J’ai essayé de supprimer universal shield, mais il n’y a pas moyen. J’ai également essayer tous les programmes du style unlocker, regcleaner, spybot, revo, killbox, etc. mais il n’y a même pas moyen de les lancer. 
Ma connexion Internet est également hors d’état de même que mon antivirus avast (erreur rpc).

Si je fais f8 au redémarrage, le clavier fonctionne mais pas moyen de rentrer dans ma session car je reçois ce message « windows ne peut pas se connecter au service Sens » et donc impossible de faire quoi que ce soit.

J’ai essayé hijackthis mais là encore impossible de le faire fonctionner.
La seule chose que j’ai pu trouver c’est ceci dans le journal d’avast : 

20/10/2008 15:35:33	SYSTEM	1772	Sign of "Win32:Small-LLZ [Trj]" has been found in "http://download.dailykeys.com/files/universal%20shield%204.2.exe\serial.exe\[FSG]" file.  
20/10/2008 15:36:28	SYSTEM	1772	Sign of "Win32:Adload-LN [Trj]" has been found in "C:\Windows\System32\pmbkalpwoq.dll" file.  
20/10/2008 15:43:15	SYSTEM	1772	Sign of "Win32:Trojan-gen {Other}" has been found in "http://crackstorage.net/get_uploaded_file.php\Everstrike Universal Shield 4.2 - Bidjan\Everstrike Universal Shield 4.2 - Bidjan.exe\{app}\USPro.exe" file.  
20/10/2008 15:45:04	SYSTEM	1772	Sign of "Win32:Small-LLZ [Trj]" has been found in "http://download.dailykeys.com/files/universal%20shield%204.2.exe\serial.exe\[FSG]" file.  
20/10/2008 15:52:17	SYSTEM	1704	Sign of "Win32:PureMorph [Cryp]" has been found in "C:\Users\Sebbie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MO4YDDJW\RWLjx1MCq3[1].exe" file.  
20/10/2008 15:52:22	SYSTEM	1704	Sign of "Win32:PureMorph [Cryp]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\pupdmgr.exe" file.  
20/10/2008 15:52:54	SYSTEM	1704	Sign of "BV:Vapsup-A" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\install.bat" file.  
20/10/2008 15:52:59	SYSTEM	1704	Sign of "Win32:Zlob-APQ [Trj]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\ngwstxfd.dll" file.  
20/10/2008 15:53:03	SYSTEM	1704	Sign of "Win32:Vapsup-GW [Adw]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\rosqxvmn.dll" file.  
20/10/2008 15:53:55	SYSTEM	1704	Sign of "BV:Vapsup-A" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\install.bat" file.  
20/10/2008 15:53:58	SYSTEM	1704	Sign of "Win32:Zlob-APQ [Trj]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\ngwstxfd.dll" file.  
20/10/2008 15:54:00	SYSTEM	1704	Sign of "Win32:Vapsup-GW [Adw]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\rosqxvmn.dll" file.  
20/10/2008 15:54:50	SYSTEM	1704	Sign of "BV:Vapsup-A" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\install.bat" file.  
20/10/2008 15:54:55	SYSTEM	1704	Sign of "Win32:Zlob-APQ [Trj]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\ngwstxfd.dll" file.  
20/10/2008 15:54:58	SYSTEM	1704	Sign of "Win32:Vapsup-GW [Adw]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\rosqxvmn.dll" file.  
20/10/2008 15:55:50	SYSTEM	1704	Sign of "BV:Vapsup-A" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\install.bat" file.  
20/10/2008 15:55:53	SYSTEM	1704	Sign of "Win32:Zlob-APQ [Trj]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\ngwstxfd.dll" file.  
20/10/2008 15:55:56	SYSTEM	1704	Sign of "Win32:Vapsup-GW [Adw]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\rosqxvmn.dll" file.  
20/10/2008 15:56:40	SYSTEM	1704	Sign of "BV:Vapsup-A" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\install.bat" file.  
20/10/2008 15:56:44	SYSTEM	1704	Sign of "Win32:Zlob-APQ [Trj]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\ngwstxfd.dll" file.  
20/10/2008 15:56:46	SYSTEM	1704	Sign of "Win32:Vapsup-GW [Adw]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\rosqxvmn.dll" file.  
20/10/2008 15:57:48	SYSTEM	1704	Sign of "BV:Vapsup-A" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\install.bat" file.  
20/10/2008 15:57:52	SYSTEM	1704	Sign of "Win32:Zlob-APQ [Trj]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\ngwstxfd.dll" file.  
20/10/2008 15:57:55	SYSTEM	1704	Sign of "Win32:Vapsup-GW [Adw]" has been found in "C:\Users\Sebbie\AppData\Local\Temp\ac8zt2\rosqxvmn.dll" file.  
20/10/2008 19:01:58	SYSTEM	1816	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\Windows\System32\drivers\srosa.sys" file.  
20/10/2008 19:02:20	SYSTEM	1816	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Windows\System32\drivers\downld\193581.exe" file.  
20/10/2008 19:02:28	SYSTEM	1816	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Windows\System32\drivers\downld\202801.exe" file.  
20/10/2008 19:02:44	SYSTEM	1816	Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\Windows\System32\drivers\US30Kbd2K.sys" file.  
20/10/2008 19:02:53	SYSTEM	1816	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Windows\System32\drivers\downld\207200.exe" file.  
20/10/2008 19:03:01	SYSTEM	1816	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Users\Sebbie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IGEKZ2NJ\b64_3[1].jpg" file.  
20/10/2008 19:03:01	SYSTEM	1816	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Users\Sebbie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7ACX1G1U\b64_3[1].jpg" file.  

Aidez-moi svp car j’ai besoin de ce PC pour travailler &#61516; 

Merci d’avance pour votre aide

Destrio5 · Answer

Salut,

Tu as beaucoup d'infections.

Si tu ne peux pas faire de manipulation, ça va être dur de t'aider.

Lion7 · Answer

Salut,

Tu crois qu'en formatant, je serai débarasser de mes problèmes ?

Lion7 · Answer

débarrassé, pardon ;-)

Destrio5 · Answer

Si tu formates, tu effaceras les infections mais aussi tes documents, musiques, logiciels,...

Lion7 · Answer

Oui, mais je peux tout sauvegarder sur un disque dur portable par exemple. Enfin, s'il y a moyen, je préférerais régler le problème sans formater.

Lyonnais92 · Answer

Salut,

la clavier virtuel fonctionne ?

http://www.01net.com/contenu/2562/ta_fiches/affichez-un-clavier-virtuel-113-1

comment taper OSK ? Quelqu'un a trouvé :

https://www.thesiteoueb.net/faq-astuces/fiche-pratique-523-comment-afficher-le-clavier-virtuel-sous-vista.html

Ca va pas suffire ! Il va falloir transférer les outils (plutôt par CD ou DVD réinscriptible que clé USB).

Bonne suite.

Destrio5 · Answer

--> Télécharge FindyKill (par Chiquitine29) sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l'installation avec les paramètres par defaut

--> Clique droit sur le raccourci FindyKill sur ton bureau et choisis Exécuter en tant qu'administrateur.

--> Au menu principal, choisis l'option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Lion7 · Answer

Si je l'installe sur le C, on me dit que le répertoire est invalide

Si je l'installe sur un autre disque on me dit que findkyll n'a pas été completement installé pour la raison suivante : impossible de créer le fichier uninstall.$$A

Pffff

Destrio5 · Answer

Tu l'installes bien dans Program Files ?

Lion7 · Answer

Oui...

J'ai essayé de l'installer sur une clé usb, le programme se lance, je tape 1 et je vois "accès refusé" sur plusieurs lignes. :-S

Destrio5 · Answer

Tu ne dois pas toucher à l'emplacement lors de l'installation.

Il faut que l'UAC soit désactivé :
http://www.commentcamarche.net/faq/sujet 8343 vista desactiver l uac

Et il faut lancer FindyKill en tant qu'administrateur.

Lion7 · Answer

L'UAC était déjà désactivé. Et j'essaye bien de lancer le programme en tant qu'admin.

Le seul soucis c'est que je ne peux plus entrer dans ma session admin (car protégée par mot de passe) étant donné que le clavier ne fonctionne pas (et le virtuel n'est pas accessible de là). Je fais donc tout de la session "invité" et impossible de faire un copier coller du mot de passe...

Destrio5 · Answer

---> Essaie de faire un scan avec ceci :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

Lion7 · Answer

Malwarebytes' Anti-Malware 1.29
Database version: 1298
Windows 6.0.6000 

21/10/2008 1:23:57
mbam-log-2008-10-21 (01-23-38).txt

Scan type: Full Scan (C:\|D:\|F:\|)
Objects scanned: 130227
Time elapsed: 18 minute(s), 57 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> No action taken.

Files Infected:
C:\Users\Invité\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\178901.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\182973.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\downld\183347.exe (Trojan.Agent) -> No action taken.


Merci pour ton aide en tout cas :)

Destrio5 · Answer

Tu as cliqué sur Supprimer la sélection ?

Lion7 · Answer

Oui, mais il me demande de réparer pour tout supprimer, j'attends...

Destrio5 · Answer

Tu attends quoi ?

Lion7 · Answer

Que l'ordi redémarre ;-). Entre-temps c'est fait mais c'est toujours le même bordel.

Destrio5 · Answer

On va utiliser ComboFix après.

Lion7 · Answer

J'ai essayé de l'installer mais il me dit : some files could not be created, please close all applications, reboot windows and restart this installation. C'est peut-être dû à vista ? ou au fait que je sois sur la session invité ?

Destrio5 · Answer

Tu as redémarré le PC ?

Lion7 · Answer

Ouaip, toujours le même message. Je deviens dingue

Destrio5 · Answer

Pour lancer ComboFix, tu cliques droit dessus et tu choisis Exécuter en tant qu'administrateur.

Lion7 · Answer

C'est ce que je viens de faire malheureusement :-S

Destrio5 · Answer

---> Télécharge EliBaglA.exe :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

---> Clique en bas de la page sur le bouton Descargar Elibagla.
Enregistre ce fichier sur le bureau.

---> Lance EliBaglA.exe en tant qu'administrateur.

---> Assure-toi que dans le menu déroulant Unidad qu'il y ait bien C:\
Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée.

---> Clique sur le bouton Explorar pour lancer l'analyse.

---> L'analyse finie, redémarre, poste le rapport d'EliBaglA qui se trouve ici C:\InfoSat.txt

Lion7 · Answer

Je ne trouve pas le rapport mais de toute façon il y avait 0 fichier infecté. Pdt le scan, il m'a souvent dit qu'il ne pouvait pas accéder à certains fichiers...

Destrio5 · Answer

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Lion7 · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== COMMANDS ==========
File delete failed. C:\Users\INVIT~1\AppData\Local\Temp\Mapi.log scheduled to be deleted on reboot.
File delete failed. C:\Users\INVIT~1\AppData\Local\Temp\ppcrlui_2976_2 scheduled to be deleted on reboot.
File delete failed. C:\Users\INVIT~1\AppData\Local\Temp\~DFACDB.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\INVIT~1\AppData\Local\Temp\~DFB5A4.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10212008_022529

Files moved on Reboot...
File move failed. C:\Users\INVIT~1\AppData\Local\Temp\Mapi.log scheduled to be moved on reboot.
C:\Users\INVIT~1\AppData\Local\Temp\ppcrlui_2976_2 moved successfully.
File C:\Users\INVIT~1\AppData\Local\Temp\~DFACDB.tmp not found!
File C:\Users\INVIT~1\AppData\Local\Temp\~DFB5A4.tmp not found!

Destrio5 · Answer

Essaie de réinstaller Avast.

Lion7 · Answer

Je ne peux pas le désinstaller (pas assez de privilège) mais je suis parvenu à le lancer et j'effectue un scan pour le moment.

Lion7 · Answer

Je te mettrai le rapport dès que je peux demain matin mais là, faut que j'aille dormir. 

Merci pour ta précieuse aide et à demain j'espère.

Destrio5 · Answer

Ok, ça marche.

Lion7 · Answer

Salut,

Avast me dit qu'il n'y a aucun fichier infecté mais je n'ai toujours ni clavier, ni souris, ni Internet.

Lion7 · Answer

Voilà le rapport détaille d'avast : 

* Rapport avast!
* Ce fichier est généré automatiquement
*
* Tâche utilisée 'Interface utilisateur simplifiée'
* Débuté le mardi 21 octobre 2008 11:00:03
* VPS : 081018-0, 18/10/2008
*

C:\$Recycle.Bin\S-1-5-18 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-1643969366-1937786268-369828714-500 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-1786024381-857579050-3433506627-1000 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-1786024381-857579050-3433506627-1001 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-2446354535-3758926445-94421575-500 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-2820803949-3729524370-2303368394-500 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-3104489088-2836857065-1364713530-500 [E] Accès refusé (5)
C:\$Recycle.Bin\S-1-5-21-402374355-2776029083-1576359178-500 [E] Accès refusé (5)
C:\Boot\BCD [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Boot\BCD.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\hiberfil.sys [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\pagefile.sys [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Program Files\InstallShield Installation Information\{12688FD7-CB92-4A5B-BEE4-5C8E0574434F}\Setup.ilg [E] Accès refusé (5)
C:\Program Files\InstallShield Installation Information\{51B4E156-14A5-4904-9AE4-B1AA2A0E46BE}\Setup.ilg [E] Accès refusé (5)
C:\Program Files\InstallShield Installation Information\{5279374D-87FE-4879-9385-F17278EBB9D3}\Setup.ilg [E] Accès refusé (5)
C:\Program Files\InstallShield Installation Information\{620BBA5E-F848-4D56-8BDA-584E44584C5E}\Setup.ilg [E] Accès refusé (5)
C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.ilg [E] Accès refusé (5)
C:\Program Files\Mozilla Firefox\uninstall\uninstall.update [E] Accès refusé (5)
C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp_ImageTooloot.imgoot.img [E] archive GZIP corrompue. (42129)
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f4f0e91c4d09fcebc59acc92ee39d40b_d2b659a1-e606-4e94-b778-72a98c85b9b8 [E] Accès refusé (5)
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_d2b659a1-e606-4e94-b778-72a98c85b9b8 [E] Accès refusé (5)
C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [E] Accès refusé (5)
C:\ProgramData\Microsoft\eHome [E] Accès refusé (5)
C:\ProgramData\Microsoft\Network\Downloader [E] Accès refusé (5)
C:\ProgramData\Microsoft\Search\Data\Applications\Windows [E] Accès refusé (5)
C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc [E] Accès refusé (5)
C:\ProgramData\Microsoft\User Account Pictures\Juju.dat [E] Accès refusé (5)
C:\ProgramData\Microsoft\User Account Pictures\Sebbie.dat [E] Accès refusé (5)
C:\ProgramData\Microsoft\Windows\DRM [E] Accès refusé (5)
C:\ProgramData\Microsoft\Windows\WER\ReportArchive [E] Accès refusé (5)
C:\ProgramData\Microsoft\Windows\WER\ReportQueue [E] Accès refusé (5)
C:\ProgramData\Microsoft\Windows Defender [E] Accès refusé (5)
C:\System Volume Information [E] Accès refusé (5)
C:\Users\Invité\AppData\Local\Microsoft\Windows\UsrClass.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Microsoft\Windows Mail\edb.log [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Microsoft\Windows Mail	mp.edb [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Microsoft\Windows Mail\WindowsMail.MSMessageStore [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI609C.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI6492.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI64A2.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI65DC.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI8244.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI862C.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PI89A7.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\AppData\Local\Temp\~PIACF6.tmp [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité\NTUSER.DAT [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité
tuser.dat.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Invité
tuser.dat.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Users\Juju [E] Accès refusé (5)
C:\Users\Public\Recorded TV [E] Accès refusé (5)
C:\Users\Sebbie [E] Accès refusé (5)
C:\Windows\Debug\WIA [E] Accès refusé (5)
C:\Windows\LiveKernelReports [E] Accès refusé (5)
C:\Windows\Logs\CBS\CBS.log [E] Accès refusé (5)
C:\Windows\Logs\CBS\CBS.persist.log [E] Accès refusé (5)
C:\Windows\Logs\DPX\setupact.log [E] Accès refusé (5)
C:\Windows\Logs\DPX\setuperr.log [E] Accès refusé (5)
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config [E] Accès refusé (5)
C:\Windows\ModemLogs [E] Accès refusé (5)
C:\Windows\Panther\UnattendGC\diagerr.xml [E] Accès refusé (5)
C:\Windows\Panther\UnattendGC\diagwrn.xml [E] Accès refusé (5)
C:\Windows\Panther\UnattendGC\setupact.log [E] Accès refusé (5)
C:\Windows\Panther\UnattendGC\setuperr.log [E] Accès refusé (5)
C:\Windows\Prefetch [E] Accès refusé (5)
C:\Windows\security\database\secedit.sdb [E] Accès refusé (5)
C:\Windows\ServiceProfiles\LocalService [E] Accès refusé (5)
C:\Windows\ServiceProfiles\NetworkService [E] Accès refusé (5)
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\catroot2\edb.log [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\com\dmp [E] Accès refusé (5)
C:\Windows\System32\config\COMPONENTS [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\COMPONENTS.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\COMPONENTS.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\DEFAULT [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\DEFAULT.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\DEFAULT.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\RegBack [E] Accès refusé (5)
C:\Windows\System32\config\SAM [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SAM.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SAM.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SECURITY [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SECURITY.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SECURITY.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SOFTWARE [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SOFTWARE.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SOFTWARE.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SYSTEM [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SYSTEM.LOG1 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\SYSTEM.LOG2 [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\config\systemprofile [E] Accès refusé (5)
C:\Windows\System32\drivers\sptd.sys [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Windows\System32\GroupPolicy [E] Accès refusé (5)
C:\Windows\System32\GroupPolicyUsers [E] Accès refusé (5)
C:\Windows\System32\ias [E] Accès refusé (5)
C:\Windows\System32\LogFiles\HTTPERR [E] Accès refusé (5)
C:\Windows\System32\LogFiles\WMI [E] Accès refusé (5)
C:\Windows\System32\Msdtc [E] Accès refusé (5)
C:\Windows\System32
etworklist [E] Accès refusé (5)
C:\Windows\System32estore\MachineGuid.txt [E] Accès refusé (5)
C:\Windows\System32\spool\PRINTERS [E] Accès refusé (5)
C:\Windows\System32\sysprep\Panther\diagerr.xml [E] Accès refusé (5)
C:\Windows\System32\sysprep\Panther\diagwrn.xml [E] Accès refusé (5)
C:\Windows\System32\sysprep\Panther\setupact.log [E] Accès refusé (5)
C:\Windows\System32\sysprep\Panther\setuperr.log [E] Accès refusé (5)
C:\Windows\System32\Tasks [E] Accès refusé (5)
C:\Windows\System32\wbem\AutoRecover\2B8B1A8B0ACD3EE28B421D3918DC1F29.mof [E] Accès refusé (5)
C:\Windows\System32\wbem\AutoRecover\8A94AF24F162D580E3D9889344A3A317.mof [E] Accès refusé (5)
C:\Windows\System32\wbem\MOF [E] Accès refusé (5)
C:\Windows\System32\WDI [E] Accès refusé (5)
C:\Windows\System32\wfp [E] Accès refusé (5)
C:\Windows\System32\winevt [E] Accès refusé (5)
C:\Windows	api [E] Accès refusé (5)
C:\Windows\Tasks [E] Accès refusé (5)
C:\Windows\Temp [E] Accès refusé (5)
C:\Windows\winsxs\x86_microsoft-windows-n..n_service_datastore_31bf3856ad364e35_6.0.6000.16386_none_cef7ceb03914a67f\dnary.xsd [E] Accès refusé (5)
Fichiers infectés : 0
Total des fichiers : 223550
Total des dossiers : 13679
Taille totale : 19,3 GB

*
* Tâche terminée : mardi 21 octobre 2008 11:34:17
* Programme était en exécution 34 minute(s), 14 seconde(s)

Lion7 · Answer

Après plusieurs manipulations, j'ai réussi à créer un nouveau compte administrateur via le programme : Offline NT Password & Registry Editor v080802.

J'ai alors supprimé les fichiers d'universal shield et quelques instant après ma souris et mon claviers fonctionnaient !

Maintenant, je n'ai toujours pas d'internet. Il dit qu'il ne capte pas de réseau. 

J'ai lancé ccleaner puis findykill. Voici le rapport : 



----------------- FindyKill V4.095 ------------------

* User : Sebbie - SEBJU
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 20/10/08 par Chiquitine29
* Recherche effectuée à 14:19:17 le mar. 21/10/2008
* Windows Vaista - Internet Explorer 7.0.6000.16512
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\drivers\winfilse.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32	askeng.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\PresentationSettings.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\system32\DllHost.exe
 
--------------- [ Processus infectieux stoppés ] ----------------  
 

"C:\Windows\System32\drivers\winfilse.exe"  (2284)

 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\Windows 
 
 
»»»» Presence des fichiers dans C:\Windows\Prefetch 
 
 
»»»» Presence des fichiers dans C:\Windows\system32 
 
 
»»»» Presence des fichiers dans C:\Windows\system32\drivers 
 
Présent ! - C:\Windows\system32\drivers\srosa.sys 
Présent ! - C:\Windows\system32\drivers\winfilse.exe 
Présent ! - "C:\Windows\system32\drivers\downld" 
Present ! - C:\Windows\system32\drivers\downld\178901.exe 
Present ! - C:\Windows\system32\drivers\downld\182973.exe 
Present ! - C:\Windows\system32\drivers\downld\183347.exe 
 
»»»» Presence des fichiers dans C:\Users\Sebbie\AppData\Roaming 
 
 
»»»» Presence des fichiers dans C:\Users\Sebbie\AppData\Local\Temp 
 
 
--------------- [ Registre / Startup ] ----------------  
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Windows Defender    REG_EXPAND_SZ    %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    KeNotify    REG_SZ    C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
    SVPWUTIL    REG_SZ    C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
    HWSetup    REG_SZ    \HWSetup.exe hwSetUP
    RtHDVCpl    REG_SZ    RtHDVCpl.exe
    TPwrMain    REG_EXPAND_SZ    %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
    HSON    REG_EXPAND_SZ    %ProgramFiles%\TOSHIBA\TBS\HSON.exe
    SmoothView    REG_EXPAND_SZ    %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
    00TCrdMain    REG_EXPAND_SZ    %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
    NDSTray.exe    REG_SZ    NDSTray.exe
    Desktop SMS    REG_SZ    C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto
    topi    REG_SZ    C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
    StartCCC    REG_SZ    "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    Camera Assistant Software    REG_SZ    "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
    SynTPStart    REG_SZ    C:\Program Files\Synaptics\SynTP\SynTPStart.exe
    Toshiba Registration    REG_SZ    C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
    IAAnotif    REG_SZ    C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    avast!    REG_SZ    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    SunJavaUpdateSched    REG_SZ    "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    UnlockerAssistant    REG_SZ    "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    NBKeyScan    REG_SZ    "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    QuickTime Task    REG_SZ    "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper    REG_SZ    "C:\Program Files\iTunes\iTunesHelper.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar    REG_SZ    C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    WindowsWelcomeCenter    REG_SZ    rundll32.exe oobefldr.dll,ShowWelcomeCenter
    TOSCDSPD    REG_SZ    TOSCDSPD.EXE
    MsnMsgr    REG_SZ    "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}    REG_SZ    "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    DAEMON Tools Lite    REG_SZ    "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    WMPNSCFG    REG_SZ    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    ehTray.exe    REG_SZ    C:\Windows\ehome\ehTray.exe

 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
Présent ! - HKEY_USERS\S-1-5-21-1786024381-857579050-3433506627-1000\Software\Local AppWizard-Generated Applications\winfilse 
Présent ! - HKEY_USERS\S-1-5-21-1786024381-857579050-3433506627-1000\Software\bisoft 
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa 
Présent ! - HKEY_CURRENT_USER\Software\bisoft 
 
--------------- [ Etat / Services ] ---------------- 
 

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

 /!\ Ndisuio - Type de démarrage = 4 
 
 EapHost - Type de démarrage = 3 
 
 Wlansvc - Type de démarrage = 2 
 
 /!\ SharedAccess - Type de démarrage = 4 
 
 /!\ wuauserv - Type de démarrage = 4 
 
 /!\ wscsvc - Type de démarrage = 4 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur fixe
I: - Lecteur fixe
 
+- presence des fichiers :  

 
 
--------------- [ Registre / Moutpoint2 ] ----------------  
 
 
 -> Recherche négative. 
 
 
------------------- ! Fin du rapport ! --------------------

Lyonnais92 · Answer

Re,

Lion7, quand tu auras 1 minute, tu pourrais copier ici C:\infosat.txt (si tu le trouves).

Merci.

L'infection a muté récemment. Suivre la manière donts les outils s'adaptent est très important pour nous.

Lion7 · Answer

Voilà :)


C:\Muestras\SROSA.SYS.Muestra EliBagle v11.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Tue Oct 21 17:20:49 2008
EliBagle v11.86  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue Oct 21 17:21:48 2008
EliBagle v11.86  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Tue Oct 21 17:21:52 2008
EliBagle v11.86  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue Oct 21 17:40:58 2008
EliBagle v11.86  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Tue Oct 21 17:54:49 2008
EliBagle v11.86  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Tue Oct 21 17:54:54 2008
EliBagle v11.86  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   16017
Nº Total de Ficheros:      92737
Nº de Ficheros Analizados: 15996
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Destrio5 · Answer

"C:\Windows\System32\drivers\winfilse.exe" (2284) 

---> Tu es infecté par la nouvelle version de Bagle.

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

--> Clique droit sur le raccourci FindyKill sur ton bureau et choisis Exécuter en tant qu'administrateur.

--> Au menu principal, choisis l'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Lion7 · Answer

Voilà et Internet fonctionne maintenant !

J'ai encore quelque chose à virer ?
----------------- FindyKill V4.095 ------------------

* User : Sebbie - SEBJU
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 20/10/08 par Chiquitine29
* Suppression effectuée à 19:18:05 le mar. 21/10/2008
* Windows Vista - Internet Explorer 7.0.6000.16512
 
 
((((((((((((((( *** Suppression *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Suppression des fichiers dans C: 
 
Supprimé ! - "C:\Muestras"  
Supprimé ! - C:\InfoSat.txt  
 
»»»» Suppression des fichiers dans C:\Windows 
 
 
»»»» Suppression des fichiers dans C:\Windows\Prefetch 
 
Supprimé ! - C:\Windows\Prefetch\ACRORD32.EXE-C7F7B209.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-06A94059.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-0DC6D531.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-0DD000E2.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-0FA59AEB.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-10C2F0EB.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-1293EDAF.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-18ECFED0.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-27BA9A0B.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-2DF5EA07.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-3998C71C.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-3CC82DB8.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-3D24908B.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-467E5D39.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-4B51603C.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-51C10C19.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-5364B856.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-547AB3BD.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-54DF17D1.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-55DB5D27.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-566C0AD6.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-57006F1B.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-57595882.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-5A02EDF5.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-64F352AF.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-665B4600.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-69A03D87.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-6D2968F1.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-6D56108C.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-71E78B39.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-79C91A97.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-7B598405.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-7E4C4F6A.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-8405979B.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-867D3BDA.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-873A8E4E.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-8889BF3C.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-8CCD0223.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-90FA243F.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-97D370ED.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-986AF239.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-9CD3C57B.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-9E3F3794.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-A38F8AA5.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-A6251510.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-A9CB9F31.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-A9F266BF.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-AED3EC29.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-B65D1D56.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-B73541F4.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-B9A9A235.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-C1C28FC3.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-C47FFC6E.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-C86AEC57.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-C951C330.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-C9712D86.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-CC6B95CE.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-CDCA5D60.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-D1ADF9B1.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-D9AE67B8.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-DBB59147.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-DC7CFB10.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-E102577D.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-E2EB8601.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-E4E766A2.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-E611CC88.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-E9EB40D7.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-EA942823.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-EB2E7CC5.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-EBADF075.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-EEF1543F.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-F02960FD.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-F02A18A7.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-F099AD7F.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-F9DA4C1E.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-FD76B2BD.pf 
Supprimé ! - C:\Windows\Prefetch\RUNDLL32.EXE-FFBC9328.pf 
 
»»»» Suppression des fichiers dans C:\Windows\system32 
 
 
»»»» Suppression des fichiers dans C:\Windows\system32\drivers 
 
Supprimé ! - C:\Windows\system32\drivers\winfilse.exe  
Supprimé ! - C:\Windows\system32\drivers\downld\178901.exe 
Supprimé ! - C:\Windows\system32\drivers\downld\182973.exe 
Supprimé ! - C:\Windows\system32\drivers\downld\183347.exe 
Supprimé ! - "C:\Windows\system32\drivers\downld"  
 
»»»» Suppression des fichiers dans C:\Users\Sebbie\AppData\Roaming 
 
 
»»»» Suppression des fichiers dans C:\Users\Sebbie\AppData\Local\Temp 
 
 
--------------- [ Registre / Clés infectieuses ] ---------------- 
 
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA   
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA     
Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA   
Supprimé ! - HKEY_USERS\S-1-5-21-1786024381-857579050-3433506627-1000\Software\Local AppWizard-Generated Applications\winfilse   
Supprimé ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse   
 
      -> Certaines clés ont été supprimées au premier reboot ...  
 
--------------- [ Etat / Redémarage des services ] ---------------- 
 
+- Mode sans echec restauré ! 
  
+- Affichage des fichiers cachés réparé !


+- Services : [ Auto=2 Demande=3 Désactivé=4 ] 

 Ndisuio - Type de démarrage = 2 
 
 EapHost - Type de démarrage = 2 
 
 Wlansvc - Type de démarrage = 2 
 
 SharedAccess - Type de démarrage = 3 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 
---------------   [ Nettoyage des supports amovibles ] ----------------  
 
+- Informations : 

C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur fixe
I: - Lecteur fixe
 
+- Suppression des fichiers : 
 
 
--------------- [ Registre / Moutpoint2 ] ----------------  
 
 
 -> Recherche négative. 
 
 
--------------- [ Recherche Cracks / Keygen ] ----------------  
 
C:\Users\Sebbie
ero7.7.5.1_keygen
C:\Users\Sebbie
ero7.7.5.1_keygen.zip
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME
C:\Users\Sebbie
ero7.7.5.1_keygen\keygen.nfo
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME\acme.nfo
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME\file_id.diz
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME
ero_keygen.exe
 
 
---------------- ! Fin du rapport ! ------------------

Destrio5 · Answer

"C:\Users\Sebbie
ero7.7.5.1_keygen
C:\Users\Sebbie
ero7.7.5.1_keygen.zip
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME
C:\Users\Sebbie
ero7.7.5.1_keygen\keygen.nfo
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME\acme.nfo
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME\file_id.diz
C:\Users\Sebbie
ero7.7.5.1_keygen\Ahead.Nero.Premium.Edition.v7.7.5.1.Incl.Keymaker-ACME
ero_keygen.exe "

---> Supprime ceci.

---> Puis essaie de lancer ComboFix.

Lion7 · Answer

Tu ne sais pas me donner un lien vers une bonne version de combofix parce que tout à l'heure j'ai eu de sérieux problèmes avec celle que j'ai...

Destrio5 · Answer

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Lion7 · Answer

ComboFix 08-10-19.04 - Sebbie 2008-10-21 19:44:40.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1312 [GMT 2:00] Lancé depuis: C:\Users\Sebbie\Desktop\ComboFix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-21 au 2008-10-21 )))))))))))))))))))))))))))))))))))) . 2008-10-21 14:14 . 2008-10-21 14:14 d-------- C:\Program Files\CCleaner 2008-10-21 13:54 . 2008-10-21 19:19 d-------- C:\Program Files\FindyKill 2008-10-21 13:49 . 2008-10-21 13:49 d-------- C:\Program Files\Trend Micro 2008-10-21 13:26 . 2008-10-21 13:26 0 --a------ C:\Windows sreg.dat 2008-10-21 13:24 . 2008-10-21 13:24 90,984 --a------ C:\Windows\System32\GDIPFONTCACHEV1.DAT 2008-10-21 13:23 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Searches 2008-10-21 13:23 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Contacts 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Videos 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Saved Games 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Pictures 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Music 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Links 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Downloads 2008-10-21 13:22 . 2008-10-21 13:23 dr------- C:\Users\Administrateur\Documents 2008-10-21 13:22 . 2008-10-21 13:23 d--h----- C:\Users\Administrateur\AppData 2008-10-21 13:22 . 2008-10-21 13:23 d-------- C:\Users\Administrateur 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Videos 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Videos 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Searches 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Searches 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Saved Games 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Saved Games 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Pictures 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Pictures 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Music 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Music 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Links 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Links 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Favorites 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Favorites 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Downloads 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Downloads 2008-10-20 19:08 . 2008-10-21 01:23 dr------- C:\Users\Invité\Documents 2008-10-20 19:08 . 2008-10-21 01:23 dr------- C:\Users\Invité\Documents 2008-10-20 19:08 . 2008-10-21 17:33 dr------- C:\Users\Invité\Desktop 2008-10-20 19:08 . 2008-10-21 17:33 dr------- C:\Users\Invité\Desktop 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Contacts 2008-10-20 19:08 . 2008-10-20 19:08 dr------- C:\Users\Invité\Contacts 2008-10-20 19:08 . 2008-10-20 19:08 d--h----- C:\Users\Invité\AppData 2008-10-20 19:08 . 2008-10-20 19:08 d--h----- C:\Users\Invité\AppData 2008-10-20 19:08 . 2008-10-20 19:08 d-------- C:\Users\Invité 2008-10-20 19:08 . 2008-10-21 13:13 1,048,576 --ahs---- C:\Users\Invité\NTUSER.DAT 2008-10-20 19:08 . 2008-10-21 13:13 1,048,576 --ahs---- C:\Users\Invité\NTUSER.DAT 2008-10-20 16:11 . 2008-10-20 16:11 d-------- C:\Users\Sebbie\AppData\Roaming\Malwarebytes 2008-10-20 16:11 . 2008-10-20 16:11 d-------- C:\Users\All Users\Malwarebytes 2008-10-20 16:11 . 2008-10-20 16:11 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-20 16:11 . 2008-10-20 16:11 d-------- C:\PROGRA~2\Malwarebytes 2008-10-20 16:11 . 2008-10-16 20:25 38,496 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys 2008-10-20 16:11 . 2008-10-16 20:25 15,504 --a------ C:\Windows\System32\drivers\mbam.sys 2008-10-20 15:36 . 2008-10-20 15:36 79,085 --a------ C:\Windows\System32\ildaoovmnbtn.exe 2008-10-16 23:16 . 2008-10-16 23:16 d-------- C:\Program Files\Google 2008-09-28 18:17 . 2008-09-28 18:17 d----c--- C:\Windows\System32\DRVSTORE 2008-09-28 18:17 . 2008-09-28 18:17 d-------- C:\Users\Sebbie\AppData\Roaming\Apple Computer 2008-09-28 18:17 . 2008-04-17 13:12 107,368 --a------ C:\Windows\System32\GEARAspi.dll 2008-09-28 18:17 . 2008-04-17 13:12 15,464 --a------ C:\Windows\System32\drivers\GEARAspiWDM.sys 2008-09-28 18:16 . 2008-09-28 18:16 d-------- C:\Users\All Users\Apple Computer 2008-09-28 18:16 . 2008-09-28 18:17 d-------- C:\Users\All Users\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-28 18:16 . 2008-09-28 18:16 d-------- C:\Program Files\QuickTime 2008-09-28 18:16 . 2008-09-28 18:17 d-------- C:\Program Files\iTunes 2008-09-28 18:16 . 2008-09-28 18:16 d-------- C:\Program Files\iPod 2008-09-28 18:16 . 2008-09-28 18:16 d-------- C:\Program Files\Bonjour 2008-09-28 18:16 . 2008-09-28 18:16 d-------- C:\PROGRA~2\Apple Computer 2008-09-28 18:16 . 2008-09-28 18:17 d-------- C:\PROGRA~2\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-28 18:15 . 2008-09-28 18:15 d-------- C:\Users\All Users\Apple 2008-09-28 18:15 . 2008-09-28 18:16 d-------- C:\Program Files\Common Files\Apple 2008-09-28 18:15 . 2008-09-28 18:15 d-------- C:\Program Files\Apple Software Update 2008-09-28 18:15 . 2008-09-28 18:15 d-------- C:\PROGRA~2\Apple 2008-09-28 13:52 . 2008-09-28 13:52 98,304 --a------ C:\Windows\System32\CmdLineExt.dll 2008-09-28 13:41 . 2008-09-28 13:41 d-------- C:\Program Files\Rockstar Games 2008-09-28 13:40 . 2008-09-28 13:40 d-------- C:\Program Files\DAEMON Tools Lite 2008-09-28 13:30 . 2008-09-28 13:30 d-------- C:\Users\Sebbie\AppData\Roaming\DAEMON Tools 2008-09-28 13:30 . 2008-09-28 13:30 717,296 --a------ C:\Windows\System32\drivers\sptd.sys 2008-09-24 13:56 . 2008-10-21 15:13 69 --a------ C:\Windows\NeroDigital.ini 2008-09-24 13:53 . 2008-09-24 13:53 d-------- C:\Program Files\NeroInstall.bak 2008-09-24 13:52 . 2008-09-24 13:52 d-------- C:\Users\Sebbie\AppData\Roaming\Nero 2008-09-24 13:49 . 2008-09-24 13:49 d-------- C:\Users\All Users\Nero 2008-09-24 13:49 . 2008-09-24 13:49 d-------- C:\Program Files\Nero 2008-09-24 13:49 . 2008-09-24 13:50 d-------- C:\Program Files\Common Files\Nero 2008-09-24 13:49 . 2008-09-24 13:49 d-------- C:\PROGRA~2\Nero 2008-09-23 15:05 . 2008-09-23 15:15 d-------- C:\Program Files\Unlocker . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-21 11:13 1,048,576 --sha-w C:\Users\Invité\NTUSER.DAT 2008-10-21 11:13 1,048,576 --sha-w C:\Users\Invité\NTUSER.DAT 2008-09-28 11:41 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-20 16:44 --------- d-----w C:\Program Files\Lphant 2008-09-20 15:26 --------- d-----w C:\Program Files\Bluetack 2008-09-20 15:16 --------- d-----w C:\Program Files\LphantBar 2008-09-20 15:16 --------- d-----w C:\Program Files\Conduit 2008-09-20 15:15 2,560 ----a-w C:\Windows\_MSRSTRT.EXE 2008-09-12 16:06 --------- d-----w C:\Users\Sebbie\AppData\Roaming\dvdcss 2008-09-12 15:47 --------- d-----w C:\Program Files\DVD Shrink 2008-09-12 15:47 --------- d-----w C:\PROGRA~2\DVD Shrink 2008-08-29 09:49 --------- d-----w C:\Program Files\Microsoft.NET 2008-08-29 08:18 87,336 ----a-w C:\Windows\System32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\Windows\System32\dnssd.dll 2008-08-27 19:56 83,456 ----a-w C:\Windows\System32\wudriver.dll 2008-08-27 19:56 563,912 ----a-w C:\Windows\System32\wuapi.dll 2008-08-27 19:56 53,448 ----a-w C:\Windows\System32\wuauclt.exe 2008-08-27 19:56 45,768 ----a-w C:\Windows\System32\wups2.dll 2008-08-27 19:56 36,552 ----a-w C:\Windows\System32\wups.dll 2008-08-27 19:56 31,232 ----a-w C:\Windows\System32\wuapp.exe 2008-08-27 19:56 163,904 ----a-w C:\Windows\System32\wuwebv.dll 2008-08-27 19:56 1,811,656 ----a-w C:\Windows\System32\wuaueng.dll 2008-08-27 19:56 1,524,736 ----a-w C:\Windows\System32\wucltux.dll 2008-08-24 15:58 --------- d-----w C:\Program Files\Common Files\PocketSoft 2008-08-24 15:53 --------- d-----w C:\Program Files\Atari 2008-08-24 15:17 43,520 ----a-w C:\Windows\System32\CmdLineExt03.dll 2008-08-24 15:07 --------- d-----w C:\Users\Sebbie\AppData\Roaming\Atari 2008-08-22 13:25 --------- d-----w C:\Users\Sebbie\AppData\Roaming\vlc 2008-08-22 13:22 --------- d-----w C:\Users\Sebbie\AppData\Roaming\AdobeUM 2008-08-22 13:12 --------- d-----w C:\Program Files\Axon Data 2007-04-18 13:41 44 ----a-w C:\Users\Sebbie\RUNME.bat 2006-11-02 12:50 174 --sha-w C:\Program Files\desktop.ini . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2006-11-02 1196032] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136] "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 125440] "WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 C:\Windows\System32\oobefldr.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KeNotify"="C:\Program Files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352] "TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192] "HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416] "SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496] "00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744] "Desktop SMS"="C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe" [2007-06-18 1507328] "topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information opi.exe" [2007-07-10 581632] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "Camera Assistant Software"="C:\Program Files\Camera Assistant Software for Toshiba raybar.exe" [2007-04-10 413696] "SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800] "Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-10-21 78008] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-10 289576] "RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 C:\Windows\RtHDVCpl.exe] "NDSTray.exe"="NDSTray.exe" [BU] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wyjtle.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\vio\dvacm.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1786024381-857579050-3433506627-1000] "EnableNotificationsRef"=dword:00000005 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{9E27F097-01B2-467B-99E4-E71D71B244CE}C:\program files\mozilla firefox\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox "UDP Query User{5DEDA529-A7E8-4C99-8309-C4EA2A7C9DDA}C:\program files\mozilla firefox\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox "{A39DB549-4339-46EC-9E76-5205432A153C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{A4954F2A-30E4-4146-ABAE-2D94FAEA52CD}"= UDP:C:\Program Files\Lphant\eLePhantClient.exe:Lphant "{82DB7BE5-C945-4FDD-A872-143A1AD4A3F3}"= TCP:C:\Program Files\Lphant\eLePhantClient.exe:Lphant "TCP Query User{13C46B0C-067E-4DD4-815D-AEEE21E51A44}C:\users\sebbie\appdata\local\temp\onlineupdate8\setupxu.exe"= UDP:C:\users\sebbie\appdata\local emp\onlineupdate8\setupxu.exe:setupxu.exe "UDP Query User{FDF7D207-7E61-418E-BA90-5DC1CA6E07B5}C:\users\sebbie\appdata\local\temp\onlineupdate8\setupxu.exe"= TCP:C:\users\sebbie\appdata\local emp\onlineupdate8\setupxu.exe:setupxu.exe "{BCD844F7-AB7A-49A7-83D9-7049C18EDC1E}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour "{301E649B-921D-42CF-B702-7D5F890A02E4}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour "{DD807BFF-883D-4DFC-84C3-1E366A728DAA}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes "{83850E55-0899-49DB-B828-9B827E2C17B2}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 51280] R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-11-02 3170304] S4 CplIR;Embedded IR Driver;C:\Windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a26fd8d-8d51-11dd-9b0e-001eec00d43f}] \shell\AutoRun\command - E:\Install.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f6678f7-7f82-11dd-a196-001eec00d43f}] \shell\AutoRun\command - H:\ClickMe.exe . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-TOSCDSPD - TOSCDSPD.EXE . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Users\Sebbie\AppData\Roaming\Mozilla\Firefox\Profiles\oyz1vnzw.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.be FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser ppdf32.dll FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins pitunes.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-21 19:50:47 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\Windows\Explorer.exe -> C:\Program Files\IDM\Desktop SMS\oehook.dll -> C:\Program Files\Unlocker\UnlockerHook.dll -> C:\Program Files\Unlocker\UnlockerCOM.dll -> C:\Program Files\WinRAR arext.dll . ------------------------ Autres processus actifs ------------------------ . C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe C:\Windows\System32\Ati2evxx.exe C:\Windows\System32\audiodg.exea C:\Windows\System32\Ati2evxx.exe C:\Windows\System32\agrsmsvc.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\Windows\System32\IoctlSvc.exe C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe C:\Windows\System32\TODDSrv.exe C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\Windows\System32\conime.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe C:\Windows\System32\wbem\unsecapp.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe C:\Program Files\Windows Mail\WinMail.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Program Files\Mozilla Firefox\firefox.exe . ************************************************************************** . Heure de fin: 2008-10-21 19:53:58 - La machine a redémarré ComboFix-quarantined-files.txt 2008-10-21 17:53:40 Avant-CF: 48.780.288.000 octets libres Après-CF: 48,539,181,056 octets libres 264

Destrio5 · Answer

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Clique droit sur le raccourci UsbFix sur ton Bureau et choisis Exécuter en tant qu'administrateur.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Lion7 · Answer

Salut, 

voici le rapport donné par usbfix : 

 

-------------- UsbFix V2.395 ---------------

* User : Sebbie - SEBJU
* Outils mis a jours le 20/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à  8:14:03 le mer. 22/10/2008
* Windows Vista - Internet Explorer 7.0.6000.16512 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Users\Sebbie\AppData\Local\Temp\7E43.tmp\b2e.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Windows\system32\DllHost.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur fixe
  
--------------- [ Registre / Startup ] ----------------   
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    KeNotify    REG_SZ    C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
    RtHDVCpl    REG_SZ    RtHDVCpl.exe
    TPwrMain    REG_EXPAND_SZ    %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
    HSON    REG_EXPAND_SZ    %ProgramFiles%\TOSHIBA\TBS\HSON.exe
    SmoothView    REG_EXPAND_SZ    %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
    00TCrdMain    REG_EXPAND_SZ    %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
    NDSTray.exe    REG_SZ    NDSTray.exe
    Desktop SMS    REG_SZ    C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto
    topi    REG_SZ    C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
    StartCCC    REG_SZ    "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    Camera Assistant Software    REG_SZ    "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
    SynTPStart    REG_SZ    C:\Program Files\Synaptics\SynTP\SynTPStart.exe
    Toshiba Registration    REG_SZ    C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
    IAAnotif    REG_SZ    C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    avast!    REG_SZ    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    SunJavaUpdateSched    REG_SZ    "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    UnlockerAssistant    REG_SZ    "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    NBKeyScan    REG_SZ    "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    QuickTime Task    REG_SZ    "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper    REG_SZ    "C:\Program Files\iTunes\iTunesHelper.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar    REG_SZ    C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    WindowsWelcomeCenter    REG_SZ    rundll32.exe oobefldr.dll,ShowWelcomeCenter
    MsnMsgr    REG_SZ    "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}    REG_SZ    "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    DAEMON Tools Lite    REG_SZ    "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    WMPNSCFG    REG_SZ    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    ehTray.exe    REG_SZ    C:\Windows\ehome\ehTray.exe

  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a26fd8d-8d51-11dd-9b0e-001eec00d43f}\Shell\AutoRun\command  
Supprimé ! - HKEY_USERS\S-1-5-21-1786024381-857579050-3433506627-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a26fd8d-8d51-11dd-9b0e-001eec00d43f}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7f6678f7-7f82-11dd-a196-001eec00d43f}\Shell\AutoRun\command  
Supprimé ! - HKEY_USERS\S-1-5-21-1786024381-857579050-3433506627-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7f6678f7-7f82-11dd-a196-001eec00d43f}\Shell\AutoRun\command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
 
--------------- ! Fin du rapport ! ----------------

Destrio5 · Answer

/!\ Seul Lion7 peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

FileLook::
C:\Windows\System32\ildaoovmnbtn.exe 

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=-






---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

Lyonnais92 · Answer

salut


STOP

Lion, tu utilise ceci comme texte à enregistrer:

KillAll::

FileLook::
C:\Windows\System32\ildaoovmnbtn.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""


La différence n'est pas grande mais importante ("" au lieu de -))

Destrio5 · Answer

Et ça sert à quoi de laisser AppInit_DLLs ?

Lyonnais92 · Answer

Re,

à ce que l'ordi fonctionne correctement.

Destrio5 · Answer

Il fonctionne correctement sans.

Destrio5 · Answer

Il n'y a pas d'explication.

Lion7 · Answer

J'avoue que je ne suis plus trop là :-D

Apparemment tout est OK !

Un tout grand merci. ;-)

Lyonnais92 · Answer

Re,

Lion, une petite discussion technique.

As tu fait le post 50 (modifié) ?

poste le rapport.

Même si l'ordi semble fonctionner, il y a encore des bricoles.

En plus, il faudra nettoyer les outils.

Lyonnais92 · Answer

Re,

pas de lien disponible pour le moment. Réessaye plus tard.

Lyonnais92 · Answer

Re,

tu peux réessayer. Ca va marcher (sauf surcharge du serveur).

Lion7 · Answer

Bonjour,

Je viens d'essayer la manip mais on me dit que le fichier existe déjà ou qu'il est introuvable... :-/

Lion7 · Answer

Voilà après un autre essai j'obtiens ceci : ComboFix 08-10-22.05 - Sebbie 2008-10-23 10:41:08.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.1074 [GMT 2:00]
Lancé depuis: C:\Users\Sebbie\Desktop\ComboFix.exe
Commutateurs utilisés :: C:\Users\Sebbie\Desktop\CFScript.txt
 * Un nouveau point de restauration a été créé


Ordi clean appremment !
.

Destrio5 · Answer

Ton rapport n'est pas normal.

Lion7 · Answer

Par contre, j'ai un autre soucis maintenant :-D : les miniatures ne s'affichent plus dans l'explorateur... Tu as une idée d'où ça pourrait venir ?

http://imageshack.com/f/4iminiatures1sg8j

Destrio5 · Answer

Je ne sais pas comment résoudre ce problème.

Lion7 · Answer

Arf, dommage. Tu crois que quelqu'un pourrait m'aider ? C'est après l'utilisation de combofix que tout a commencé.

Destrio5 · Answer

Quand tu as mis le script sur ComboFix ?

Lion7 · Answer

Fin de matinée.

Destrio5 · Answer

Non, je te demande si le problème est apparu quand tu as mis le script sur ComboFix.

Lion7 · Answer

J'ai lu trop vite. ;-)

En fait j'ai d'abord eu un problème avec combofix qui ne voulait pas se lancer. J'ai d'ailleurs l'explorateur et toutes les fenêtres qui se sont fermées. Ensuite, j'ai retélécharger combofix avec le même lien et il a fonctionné.

Destrio5 · Answer

Oui mais ComboFix, tu l'as utilisé sans script au début.

Lion7 · Answer

Non, pas aujourd'hui. Hier ou avant hier oui, lors des autres manipulations que tu m'avais demandées.

Destrio5 · Answer

Et les miniatures fonctionnaient ?

Lion7 · Answer

Yep, encore ce matin avant que je me lance dans tout ça !

Destrio5 · Answer

Tu as mis quoi dans le script ?

Lion7 · Answer

KillAll::

FileLook::
C:\Windows\System32\ildaoovmnbtn.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""

Destrio5 · Answer

Après avoir retélécharger ComboFix, tu l'as lancé direct avec le script ?

Lion7 · Answer

Oui, directement.

Destrio5 · Answer

Le problème vient peut-être de là.

Destrio5 · Answer

En tout cas, personnellement, je ne sais pas restaurer tes miniatures.

Lion7 · Answer

Aie mais bon tu as quand même déjà sauvé mon PC. ;-)

Destrio5 · Answer

ComboFix crée un point de restauration avant le scan, tu peux tenter une restauration système.

Lyonnais92 · Answer

Bonjour,

je quitte le boulot, je n'ai pas le temps de regarder à fond tout de suite.

Mais la première chose est d'essayer de restaurer sur le dernier point avant Combofix.

Sur Xp je saurais faire, sous Vista, il faut regarder la littérature de la restauration.

Destrio, tu as le mode d'emploi  pour ça et tu peux le guider ?

===============
Faire aussi ça :

télécharger DirLook de jpshortstuff à partir d'ici 
http://jpshortstuff.247fixes.com/DirLook.exe .

Double-clique sur DirLook.exe pour le lancer.
Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
Copie le contenu du texte en gras ci-dessous dans le champ texte principal :


C:\Qoobox


Clique sur le bouton DirLook pour lancer l'examen.
Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse. (Note : Le rapport peut aussi être trouvé dans C:\dl_log.txt)
Note : Il se peut que l'examen prenne plus de temps pour les gros répertoires.

Destrio5 · Answer

Logo Vista > Tous les programmes > Accessoires > Outils système > Restauration du système.

Lion7 · Answer

J'obtiens ceci, après 1/2 seconde :-/ :

DirLook.exe v2.0 by jpshortstuff
Log created at 18:45 on 23/10/2008
==================================[b]
Contents of "C:\Qoobox"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]BackEnv[/b] (Created on 23/10/2008 at 08:22) d-----
[b]LastRun[/b] (Created on 23/10/2008 at 08:22) d-----
[b]Quarantine[/b] (Created on 23/10/2008 at 08:22) d-----
[b]Test[/b] (Created on 23/10/2008 at 08:22) d-----
[b]TestC[/b] (Created on 23/10/2008 at 08:22) d-----

[b][color=blue]---FILES---[/b][/color]

[b]CFScript_used_2008-10-23@10.28.txt[/b] (170 bytes - created on 23/10/2008 at 08:28, modified on 23/10/2008 at 08:11) --a---
[b]CFScript_used_2008-10-23@10.40.txt[/b] (169 bytes - created on 23/10/2008 at 08:40, modified on 23/10/2008 at 08:37) --a---

==================================
[b][color=blue]=EOF=[/b][/color]

Lyonnais92 · Answer

Re,

as tu regardé pour la Restauration Système ?

Regarde ce tuto :

http://www.libellules.ch/restauration_system_vista.php

Qu'as tu comme date de point de restauration entre hier soir et ce soir ?

Lion7 · Answer

J'ai 2 points de restauration pour ce matin : 

* Installer : combofix created restore point (10H40)
* Installer : combofix created restore point (10h28)


2 pour hier Hier : 

* Installer : installation du package de pilot logiciel : zone labs, a check point company service reseau (16h26)
* Installer : windows update (16h25)

D'autres encore mais d'il y a 2 jours : 

J'ai essayé les 2 premiers mais ça ne fonctionne pas, il y a une erreur au redémarrage. Je tente ceux d'hier ?

Lyonnais92 · Answer

Re,

oui, tu essayes celui de 16 h 26

Lyonnais92 · Answer

Salut,

il faut quand même faire des choses.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"="" 
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

==============

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\System32\ildaoovmnbtn.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Lion7 · Answer

Et voilà :)

Fichier ildaoovmnbtn.exe reçu le 2008.10.23 22:40:38 (CET)
Situation actuelle: Situation actuelle: en cours de chargement ...  mis en file d'attente  en attente  en cours d'analyse  terminé  NON TROUVE  ARRETE  
Résultat: 10/36 (27.78%)


Fichier ildaoovmnbtn.exe reçu le 2008.10.23 22:40:38 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 10/36 (27.78%)

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.22.0	2008.10.23	-
AntiVir	7.9.0.5	2008.10.23	-
Authentium	5.1.0.4	2008.10.23	-
Avast	4.8.1248.0	2008.10.23	-
AVG	8.0.0.161	2008.10.23	-
BitDefender	7.2	2008.10.23	-
CAT-QuickHeal	9.50	2008.10.23	Trojan.Agent.gen
ClamAV	0.93.1	2008.10.23	-
DrWeb	4.44.0.09170	2008.10.23	-
eSafe	7.0.17.0	2008.10.23	-
eTrust-Vet	31.6.6164	2008.10.22	-
Ewido	4.0	2008.10.23	-
F-Prot	4.4.4.56	2008.10.23	-
F-Secure	8.0.14332.0	2008.10.23	-
Fortinet	3.113.0.0	2008.10.23	W32/Shutdowner.AWY!tr.dldr
GData	19	2008.10.23	-
Ikarus	T3.1.1.44.0	2008.10.23	Trojan.Win32.Shutdowner.awy
K7AntiVirus	7.10.505	2008.10.23	-
Kaspersky	7.0.0.125	2008.10.23	-
McAfee	5413	2008.10.23	-
Microsoft	1.4005	2008.10.23	-
NOD32	3550	2008.10.23	-
Norman	5.80.02	2008.10.23	-
Panda	9.0.0.4	2008.10.23	Adware/VirusRemover2008
PCTools	4.4.2.0	2008.10.23	Trojan.Zlob!sd6
Prevx1	V2	2008.10.23	Cloaked Malware
Rising	21.00.32.00	2008.10.23	-
SecureWeb-Gateway	6.7.6	2008.10.23	-
Sophos	4.34.0	2008.10.23	Troj/Zlob-APS
Sunbelt	3.1.1749.1	2008.10.23	Trojan.NewMediaCodec
Symantec	10	2008.10.23	Trojan.Zlob
TheHacker	6.3.1.0.125	2008.10.23	-
TrendMicro	8.700.0.1004	2008.10.23	TROJ_FAKEAV.KG
VBA32	3.12.8.8	2008.10.22	-
ViRobot	2008.10.23.1434	2008.10.23	-
VirusBuster	4.5.11.0	2008.10.23	-
Information additionnelle
File size: 79085 bytes
MD5...: 4c18d2038af03c27bf83cfc3d8534933
SHA1..: 2fe08e47531ca6703ca34f90b8bee41d6738fb8b
SHA256: 3411d4bafbe25a86a6f683bd0d70417661f51830ea3e20d853545d6725d4bcd6
SHA512: f31947778b6baa1932c8c5d84f60dda6497c71013408831cd81a25e6bebd352e
53e6e42bf08b89974f27dba035abe3a49359b85736b8f4855b0c43095bc9d1c8
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4030e3
timedatestamp.....: 0x48a737ec (Sat Aug 16 20:26:20 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5b68 0x5c00 6.49 6bfa289fc453f683cf6ad42723acbb61
.rdata 0x7000 0x129c 0x1400 5.05 165e3e874dc59c8a96748c6f4d0f4207
.data 0x9000 0x25c58 0x400 4.77 78a50275610b8d77577a9aaa1957d1b6
.ndata 0x2f000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x3c000 0x908 0xa00 3.85 61462faa3c2262f337327e600887ea7a

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=53CB81C1ED695ED434F40121E4A60000A8A3B774
ThreatExpert info: https://www.symantec.com?md5=4c18d2038af03c27bf83cfc3d8534933

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

Lyonnais92 · Answer

Re,

on va continuer comme ça (je crois que l'on en voit le bout)

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Recherche et supprime ces fichiers en gras (si présents) :

C:\Windows\System32\ildaoovmnbtn.exe 
========================================

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt

Lion7 · Answer

Bonjour,

Voici tous les rapports demandés (en 2 parties pcq le message est trop long apparemment): 

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1310
Windows 6.0.6000 

24/10/2008 11:04:48
mbam-log-2008-10-24 (11-04-48).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 148425
Temps écoulé: 1 hour(s), 4 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

-----------------------------------------------------------------------------------------------------------------------------------------------------------

BitDefender Online Scanner
	
Scan report generated at: Fri, Oct 24, 2008 - 12:28:28


Scan path: C:\;D:\;E:\;F:\;G:\;
	

Statistics

Time
	

00:49:53

Files
	

283463

Folders
	

16288

Boot Sectors
	

0

Archives
	

4612

Packed Files
	

12668
	

 
	

 

Results

Identified Viruses
	

2

Infected Files
	

2

Suspect Files
	

0

Warnings
	

0

Disinfected
	

0

Deleted Files
	

2
	

 
	

 

Engines Info

Virus Definitions
	

1944583

Engine build
	

AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Scan plugins
	

16

Archive plugins
	

43

Unpack plugins
	

7

E-mail plugins
	

6

System plugins
	

4
	

 
	

 

Scan Settings

First Action
	

Disinfect

Second Action
	

Delete

Heuristics
	

Yes

Enable Warnings
	

Yes

Scanned Extensions
	

*;

Exclude Extensions
	

 

Scan Emails
	

Yes

Scan Archives
	

Yes

Scan Packed
	

Yes

Scan Files
	

Yes

Scan Boot
	

Yes
	

 
	

 
 

Scanned File
	

 Status

C:\Users\Sebbie\AppData\Local\Temp\Av-test.txt
	

Infected with: EICAR-Test-File (not a virus)

C:\Users\Sebbie\AppData\Local\Temp\Av-test.txt
	

Disinfection failed

C:\Users\Sebbie\AppData\Local\Temp\Av-test.txt
	

Deleted

C:\Users\Sebbie\Documents\file.exe
	

Infected with: Trojan.TDss.1.Gen

C:\Users\Sebbie\Documents\file.exe
	

Disinfection failed

C:\Users\Sebbie\Documents\file.exe
	

Deleted

Lion7 · Answer

Logfile of random's system information tool 1.04 (written by random/random)
Run by Sebbie at 2008-10-24 13:27:46
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 24 GB (31%) free of 76 GB
Total RAM: 2046 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:56, on 24/10/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Sebbie\Desktop\RSIT.exe
C:\Program Files	rend micro\Sebbie.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

Lion7 · Answer

Ce sera même en 3 parties ;)

info.txt logfile of random's system information tool 1.04 2008-10-24 13:27:58

======Uninstall list======

-->"C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.exe" --u:{A644254B-92F6-4970-8635-AB0775371E72}
-->C:\Program Files\Nero\Nero8\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{622E6F16-0904-49B6-BBE1-4CC836314CCF}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{697AFC77-F318-4CD4-BF16-F50F4C1072DA}\setup.exe" -l0x40c 
7-Zip 4.57-->MsiExec.exe /I{23170F69-40C1-2701-0457-000001000000}
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
Apple Mobile Device Support-->MsiExec.exe /I{AA9768AA-FF0B-4C66-A085-31E934F77841}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AxCrypt (Désinstaller uniquement)-->"C:\Program Files\Axon Data\AxCrypt\AxCryptU.exe"
Bluetooth Stack for Windows by Toshiba-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
Camera Assistant Software for Toshiba-->C:\Program Files\InstallShield Installation Information\{37C866E4-AA67-4725-9E95-A39968DD7960}\setup.exe -runfromtemp -l0x040c
Catalyst Control Center - Branding-->MsiExec.exe /I{BC1ADEAD-99F1-4707-B31B-CDB222D5BB68}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Codeur Windows Media Série 9-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Codeur Windows Media Série 9-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Desktop SMS-->MsiExec.exe /I{5980B928-1C95-4B3E-957B-B02D8147FF9E}
DVD MovieFactory for TOSHIBA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F214EAA4-A069-4BAF-9DA4-4DB8BEEDE485}\setup.exe" -l0x40c 
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
Emdedded IR Driver-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{A6D4234C-CB02-4048-AC3E-AD09404FA35A} 
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
GTA San Andreas-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\setup.exe" -l0x40c  -removeonly
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Intel Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
iTunes-->MsiExec.exe /I{41B9E2CF-0B3F-442A-B5B3-592A4A355634}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
lphant v2.01-->"C:\Program Files\lphant\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
myphotobook 3.1-->C:\Program Files\myphotobook\uninst.exe
Nero 8-->MsiExec.exe /X{BE282C23-5484-47FF-B2C1-EBEA5C891036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Réducteur de bruit lect. CD/DVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe" -l0x40c 
RocketDock 1.3.5-->"C:\Program Files\RocketDock\unins000.exe"
RollerCoaster Tycoon® 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\setup.exe" -l0x40c 
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515/xx12 drivers.-->C:\Program Files\InstallShield Installation Information\{DB780B85-B4B5-4864-A49C-9B706B169C93}\setup.exe -runfromtemp -l0x040c
TOSHIBA Assist-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\setup.exe" -l0x40c 
TOSHIBA ConfigFree-->C:\Program Files\InstallShield Installation Information\{78C6A78A-8B03-48C8-A47C-78BA1FCA2307}\setup.exe -runfromtemp -l0x040c uninstall
TOSHIBA Disc Creator-->MsiExec.exe /X{5DA0E02F-970B-424B-BF41-513A5018E4C0}
TOSHIBA DVD PLAYER-->C:\Program Files\InstallShield Installation Information\{6C5F3BDC-0A1B-4436-A696-5939629D5C31}\setup.exe -runfromtemp -l0x040c -ADDREMOVE -removeonly
TOSHIBA Extended Tiles for Windows Mobility Center-->C:\Program Files\InstallShield Installation Information\{617C36FD-0CBE-4600-84B2-441CEB12FADF}\setup.exe -runfromtemp -l0x040c
TOSHIBA Flash Cards Support Utility-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{620BBA5E-F848-4D56-8BDA-584E44584C5E} 
TOSHIBA Hardware Setup-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{5279374D-87FE-4879-9385-F17278EBB9D3} /l1036 
TOSHIBA Mot de passe responsable-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{51B4E156-14A5-4904-9AE4-B1AA2A0E46BE} /l1036 
Toshiba Online Product Information-->C:\Program Files\InstallShield Installation Information\{2290A680-4083-410A-ADCC-7092C67FC052}\setup.exe -runfromtemp -l0x040c -removeonly
TOSHIBA SD Memory Utilities-->MsiExec.exe /X{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}
TOSHIBA Software Modem-->Tosmreg -U
TOSHIBA Value Added Package-->C:\Program Files\InstallShield Installation Information\{FEDD27A0-B306-45EF-BF58-B527406B42C8}\setup.exe -runfromtemp -l0x040c
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
VideoLAN VLC media player 0.8.6i-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

AV: avast! antivirus 4.8.1229 [VPS 081018-0]
FW: ZoneAlarm Firewall
AS: Windows Defender
AS: avast! antivirus 4.8.1229 [VPS 081018-0]

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------

Lion7 · Answer

Re,

J'ai un problème qui semble s'aggraver aujourd'hui. C'est déjà la 2ème fois depuis ce matin qu'un écran bleu apparait tout à coup (DRIVER IRQL NOT LESS OR EQUAL) et fait redémarrer mon PC. J'avais déjà eu le cas il y a quelques jours (1X), mais je m'en étais pas inquiété étant donné que j'étais en phase de nettoyage.

Windows me renvoie au redémarrage sur cette page : https://support.microsoft.com/en-us/help/946776


Que faire ?

Lyonnais92 · Answer

Bonjour,

il se passe quoi si tu cliques sur : Accéder aux téléchargements de correctif et soumettre votre demande ?

Lion7 · Answer

Salut,

Je n'ai pas essayé mais par contre, j'ai installé toutes les mises à jour (5Oaine), j'espère que ça vient de là. 

Sinon, pour les 3 autres rapports, tout te semble ok ?

Lion7 · Answer

Bonjour,

L'installation des mises à jour n'avait rien changé, mais la désinstallation de "zone alarm" a apparemment résolu le problème !

Lyonnais92 · Answer

Bonjour,

la désinstallation de "zone alarm"

heu, tu veux dire que tu n'as pas de parefeu là ?

celui de Windows quand même ?

Clavier et souris bloqués sur portable - Page 4

Discussions similaires

Newsletters