WSCRIPT.EXE en masseRésolu/Fermé

Question

Bonjour,
j'ai, il y a peut de temps récupéré un.. quelque chose.. de malveillant sur mon pc et cela via clef usb.
Ce virus commence a circuler de plus en plus parmi mon entourage et bien qu'il ne parait pas dangereux j'aimerai trouver une solution efficace pour nous en débarrasser.
Directement après avoir retiré la clef USB infectée de mon pc j'ai découvert la présence d'une multitude de processus WSCRIPT.EXE dans ma liste de processus, ils reviennent bien évidemment si je les arrête et me bouffent environ 5000ko en mémoire chacun.
wscript.exe est un exécutable dans windows, si je le supprime/renomme, il est recréé.
Plus tard j'ai découvert plusieurs applications qui ce lancent au démarrage du pc (msconfig onglet démarrage) nommées rad132 rad3E0 radC63 etc... (plus d'une dizaine).
Si je les décochent, d'autres apparaissent, du même genre.(rad### #=chiffre/lettre)
Parfois mon antivirus détecte "un ajout suspect dans la base de registre Windows" et que le programme C:\Program Files\Internet Explorer\Connection Wizard\icwconn\radd\rad0F8.vbs (la c'est 0F8, mais jamais le même) sera exécuté au démarrage de Windows. Il me propose de le supprimer et ça s'arrête là.

Voila je ne suis pas du tout un crack en informatique mais ce que j'ai écris plus haut sont des choses dont je suis sure (par exemple, je suis sure de l'avoir choppé (et refilé...) via clef USB :x ).
J'espère que quelqu'un pourra m'aider car pour l'instant je n'ai rien trouvé sur le net, et suis dispo pour toute demande de précisions/manips a faire sur mon pc.
++

Utilisateur anonyme · Answer

Bonsoir,

> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
- Lance l'installation avec les paramètres par défaut.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
- Double-clique sur le raccourci UsbFix sur ton Bureau => Le PC va redémarrer.
- Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)



Ensuite,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 
- Lance le programme, puis sélectionne <Do a system scan and save a logfile> 
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,



Bon courage.

A+

Tuto si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Din31 · Answer

Voici le rapport d'usbfix:

* Recherche effectuée à 19:17:46 le 08/11/2008
* Windows Xp - Internet Explorer 6.0.2900.2180 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\Gregoire\LOCALS~1\Temp\1.tmp\b2e.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur de CD-ROM

F: - Lecteur amovible

 
+- Contenu de l'autorun : C:\autorun.inf  

[autorun]
shellexecute=wscript.exe MSdE78.vbs 
+- Contenu de l'autorun : D:\autorun.inf  

[autorun]
shellexecute=wscript.exe MSdE78.vbs 
+- Contenu de l'autorun : E:\autorun.inf  

[autorun]
open=autoplay.exe
icon=appicon.ico

 
+- Contenu de l'autorun : F:\autorun.inf  

[autorun]
shellexecute=wscript.exe MSd49A.vbs  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    VirusKeeper	REG_SZ	C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
    MS-RADF	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rada\rad131.vbs
    MS-RADE	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rada\radC33.vbs
    MS-RADA	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\radf\radF03.vbs
    MS-RAD4	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad5\rad6AA.vbs
    MS-RADD	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rada\radB7C.vbs
    MS-RAD7	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rada\rad35E.vbs
    MS-RAD8	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad0\rad30A.vbs
    MS-RAD3	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad9\rad556.vbs
    MS-RAD0	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad4\rad783.vbs
    MS-RAD1	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad0\rad9F6.vbs
    MS-RADB	REG_SZ	C:\Program Files\Internet Explorer\Connection Wizard\icwconn1\rad5\radD70.vbs

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1749626d-a8f3-11dd-a6f9-fc9fba5169c2}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1749626d-a8f3-11dd-a6f9-fc9fba5169c2}\Shell\open\Command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
Supprimé ! - [07/11/2008 21:45] C:\autorun.inf    
Supprimé ! - [07/11/2008 21:45] D:\autorun.inf    
Echec de la supression !! - [12/02/2003 09:01] E:\autorun.inf   
Echec de la supression !! - [20/05/2003 03:22] E:\install.exe   
Echec de la supression !! - [12/02/2003 09:01] E:\autorun.inf   
Echec de la supression !! - [12/02/2003 09:01] E:\autorun.inf   
Supprimé ! - [08/11/2008 19:11] F:\autorun.inf    
  
--------------- [ Listing des fichiers présents ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[02/11/2008 15:05][--a------] C:\AUTOEXEC.BAT   
[24/03/2006 20:00][-rahs----] C:\NTDETECT.COM   
[07/11/2008 21:45][-rahs----] C:\MSdE78.vbs   
[08/11/2008 17:34][-rahs----] C:\boot.ini   
[07/11/2008 21:45][-rahs----] D:\MSdE78.vbs   
[20/05/2003 03:22][-r-------] E:\autoplay.exe   
[20/05/2003 03:22][-r-------] E:\install.exe   
[12/02/2003 09:01][-r-------] E:\autorun.inf   
[08/11/2008 19:11][-rahs----] F:\MSd49A.vbs   
[07/11/2008 23:04][--a------] F:\warcraft_iii_the_frozen_throne_patch_v1_1.22b_francais_247898.exe   
  
--------------- [ Vaccination ] ----------------   
  
C:\autorun.inf - Dossier autorun.inf crée par UsbFix !  
D:\autorun.inf - Dossier autorun.inf crée par UsbFix !  
F:\autorun.inf - Dossier autorun.inf crée par UsbFix !  
 
--------------- ! Fin du rapport ! ----------------

Din31 · Answer

...et hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:36, on 08/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [MS-RADF] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaad131.vbs
O4 - HKLM\..\Run: [MS-RADE] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaadC33.vbs
O4 - HKLM\..\Run: [MS-RADA] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adfadF03.vbs
O4 - HKLM\..\Run: [MS-RAD4] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad5ad6AA.vbs
O4 - HKLM\..\Run: [MS-RADD] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaadB7C.vbs
O4 - HKLM\..\Run: [MS-RAD7] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaad35E.vbs
O4 - HKLM\..\Run: [MS-RAD8] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad0ad30A.vbs
O4 - HKLM\..\Run: [MS-RAD3] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad9ad556.vbs
O4 - HKLM\..\Run: [MS-RAD0] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad4ad783.vbs
O4 - HKLM\..\Run: [MS-RAD1] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad0ad9F6.vbs
O4 - HKLM\..\Run: [MS-RADB] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad5adD70.vbs
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe

Utilisateur anonyme · Answer

Ok, très bien.

Alors,
> Télécharge Flash_Disinfector (de sUBs) sur ton bureau : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
- Branche TOUT ton matériel USB à ton PC (très important : même le carte MD... Tous les appareils USB).
- Double clique dessus puis laisse toi guider.
- Poste son rapport après nettoyage stp.


Puis poste un nouveau HiJackT stp.

Merci.

Din31 · Answer

Je n'ai pas eu de rapport de la part de flash_disinfector :x mais apparemment il n'y a eu aucun problème.
voici le nouveau hijackthis (apres le nettoyage de flash_disinfector.exe):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:36, on 08/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\WINDOWS\system32\dllhost.exe
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [MS-RADF] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaad131.vbs
O4 - HKLM\..\Run: [MS-RADE] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaadC33.vbs
O4 - HKLM\..\Run: [MS-RADA] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adfadF03.vbs
O4 - HKLM\..\Run: [MS-RAD4] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad5ad6AA.vbs
O4 - HKLM\..\Run: [MS-RADD] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaadB7C.vbs
O4 - HKLM\..\Run: [MS-RAD7] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1adaad35E.vbs
O4 - HKLM\..\Run: [MS-RAD8] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad0ad30A.vbs
O4 - HKLM\..\Run: [MS-RAD3] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad9ad556.vbs
O4 - HKLM\..\Run: [MS-RAD0] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad4ad783.vbs
O4 - HKLM\..\Run: [MS-RAD1] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad0ad9F6.vbs
O4 - HKLM\..\Run: [MS-RADB] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1ad5adD70.vbs
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe

Utilisateur anonyme · Answer

Ok, c'est pas net tout ça... Bon, > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr N.B. : Le scan ne marche que sous Internet Explorer. - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire. - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. - On va te demander de télécharger un contrôle active x, accepte . - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer. - Poste le rapport qui sera généré stp. (clique sur puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension). S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 Rappel : le scan est à faire sous Internet Explorer Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers"). Je sors, je te réponds en rentrant. A+

Din31 · Answer

voila dsl pour l'attente (s'il y a eu attente) mais l'analyse viens juste de ce terminer (j'ai une tres mauvaise connection internet):

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Sunday, November 09, 2008 12:34:41 AM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky :  8/11/2008
 Enregistrements dans la base antivirus Kaspersky : 1232825
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\

Statistiques de l'analyse:
	Total d'objets analysés: 35759
	Nombre de virus trouvés: 2
	Nombre d'objets infectés: 10 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 00:21:33

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Media Ce.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SYSTEM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SOFTWARE	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\DEFAULT	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{B10CB386-DF90-459B-9A1B-1CBE5A288CEC}.crmlog	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\fla27.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\Mso\~$radE43.vbs	Infecté : Worm.VBS.Agent.k	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\Mso\~$rad992.vbs	Infecté : Worm.VBS.Agent.k	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\Mso\~$radA4E.vbs	Infecté : Worm.VBS.Agent.k	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\Mso\~$rad21F.vbs	Infecté : Worm.VBS.Agent.k	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\Mso\~$rad414.vbs	Infecté : Worm.VBS.Agent.k	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\Mso\~$rad783.vbs	Infecté : Worm.VBS.Agent.k	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\etilqs_b23JdyxX8xle2p1	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\etilqs_Hbfn23H00PMCRCe	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temp\etilqs_ufxAgbVIogUfoQZ	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Historique\History.IE5\MSHist012008110820081109\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Current Session	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Visited Links	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\History	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Thumbnails-journal	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Thumbnails	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Archived History	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Plugin Data\Google Gears\localserver.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Plugin Data\Google Gears\permissions.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\History-journal	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data-journal	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\History Index 2008-11-journal	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\History Index 2008-11	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\index	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\data_0	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\data_1	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\data_2	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\data_3	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\User Data\Safe Browsing	L'objet est verrouillé	ignoré
C:\Documents and Settings\Gregoire\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\Quarantaine	askmagr.exe	Infecté : Trojan.Win32.StartPage.cyk	ignoré
C:\System Volume Information\_restore{D31BC948-A5F6-4AA1-837E-2EB8C322F367}\RP19\change.log	L'objet est verrouillé	ignoré
C:\MSdE78.vbs	Infecté : Worm.VBS.Agent.k	ignoré
D:\System Volume Information\_restore{D31BC948-A5F6-4AA1-837E-2EB8C322F367}\RP19\change.log	L'objet est verrouillé	ignoré
D:\MSdE78.vbs	Infecté : Worm.VBS.Agent.k	ignoré
F:\MSd49A.vbs	Infecté : Worm.VBS.Agent.k	ignoré

Analyse terminée.

Utilisateur anonyme · Answer

Salut pour avancer DllD


fais ceci :


Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


ensuite rételecharge et instal usbfix (version a jours)


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Utilisateur anonyme · Answer

HI !

:-)

Salut pour avancer DllD ,
comment ça !? :)
Tu viens de mettre à jour ton outil oui ! :D



-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[02/11/2008 15:05][--a------] C:\AUTOEXEC.BAT
[24/03/2006 20:00][-rahs----] C:\NTDETECT.COM
[07/11/2008 21:45][-rahs----] C:\MSdE78.vbs
[08/11/2008 17:34][-rahs----] C:\boot.ini
[07/11/2008 21:45][-rahs----] D:\MSdE78.vbs
[20/05/2003 03:22][-r-------] E:\autoplay.exe
[20/05/2003 03:22][-r-------] E:\install.exe
[12/02/2003 09:01][-r-------] E:\autorun.inf
[08/11/2008 19:11][-rahs----] F:\MSd49A.vbs
[07/11/2008 23:04][--a------] F:\warcraft_iii_the_frozen_throne_patch_v1_1.22b_francais_247898.exe 

Après le Kasper, j'allais faire la différence suivant les dates ;))
Je te laisse le sujet : il n'y a que ça et c'est typiquement en correspondance avec ton outil  je ne pense.

Je viens de récupérer des PC, j'ai les mains dans le camboui.
Sinon je continue. 
Comme tu veux.

A+ Céd.

Utilisateur anonyme · Answer

Salut Ludo


oui je t affais justement sur le fix et je suis tombé sur ce topic ..

donc voila maj plus ajout d une fonction 

ok je prend le topic 


bonne soirée et courage ..

Din31 · Answer

Salut, voici le rapport Tcleaner:
[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\UsbFix.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Gregoire\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Gregoire\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Documents and Settings\Gregoire\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Gregoire\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Gregoire\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Gregoire\Bureau\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Gregoire\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Gregoire\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Gregoire\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Documents and Settings\Gregoire\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Gregoire\Bureau\UsbFix.lnk: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Gregoire\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!

(woot!)

Din31 · Answer

..et voici le rapport de ton usbFix fraichement maj :p

-------------- UsbFix V2.400 ---------------

* User : Gregoire - NOM-70897CF580A
* Outils mis a jours le 08/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à  2:28:12 le 09/11/2008
* Windows Xp - Internet Explorer 6.0.2900.2180 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\Gregoire\LOCALS~1\Temp\1.tmp\b2e.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur de CD-ROM

F: - Lecteur amovible

 
+- Contenu de l'autorun : C:\autorun.inf  


 
+- Contenu de l'autorun : D:\autorun.inf  


 
+- Contenu de l'autorun : E:\autorun.inf  


 
+- Contenu de l'autorun : F:\autorun.inf  


  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    VirusKeeper	REG_SZ	C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
    MSConfig	REG_SZ	C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
 
 -> Recherche négative. 
  
--------------- [ Nettoyage des disques ] ----------------   
   
Echec de la supression !! - [08/11/2008 19:18] C:\autorun.inf   
Supprimé ! - [07/11/2008 21:45] C:\MSdE78.vbs    
Echec de la supression !! - [08/11/2008 19:18] C:\autorun.inf   
Supprimé ! - [08/11/2008 19:18] C:\autorun.inf    
Echec de la supression !! - [08/11/2008 19:18] D:\autorun.inf   
Supprimé ! - [07/11/2008 21:45] D:\MSdE78.vbs    
Echec de la supression !! - [08/11/2008 19:18] D:\autorun.inf   
Supprimé ! - [08/11/2008 19:18] D:\autorun.inf    
Echec de la supression !! - [12/02/2003 09:01] E:\autorun.inf   
Echec de la supression !! - [20/05/2003 03:22] E:\install.exe   
Echec de la supression !! - [12/02/2003 09:01] E:\autorun.inf   
Echec de la supression !! - [12/02/2003 09:01] E:\autorun.inf   
Echec de la supression !! - [08/11/2008 19:18] F:\autorun.inf   
Supprimé ! - [08/11/2008 19:11] F:\MSd49A.vbs    
Echec de la supression !! - [08/11/2008 19:18] F:\autorun.inf   
Supprimé ! - [08/11/2008 19:18] F:\autorun.inf    
  
--------------- [ Listing des fichiers présents ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[02/11/2008 15:05][--a------] C:\AUTOEXEC.BAT   
[24/03/2006 20:00][-rahs----] C:\NTDETECT.COM   
[08/11/2008 20:04][-rahs----] C:\boot.ini   
[20/05/2003 03:22][-r-------] E:\autoplay.exe   
[20/05/2003 03:22][-r-------] E:\install.exe   
[12/02/2003 09:01][-r-------] E:\autorun.inf   
[07/11/2008 23:04][--a------] F:\warcraft_iii_the_frozen_throne_patch_v1_1.22b_francais_247898.exe   
  
--------------- [ Vaccination ] ----------------   
  
C:\autorun.inf - Dossier autorun.inf crée par UsbFix !  
D:\autorun.inf - Dossier autorun.inf crée par UsbFix !  
F:\autorun.inf - Dossier autorun.inf crée par UsbFix !  
 
--------------- ! Fin du rapport ! ----------------  

Plus de fichiers .vbs !!!
J'ai regardé un peut le code de ces fichiers qu'ily avait en 1 exemplaire sur chaque lecteur, il me paraissait bien louche^^
Plus rien (en tout cas pour le moment) de suspect dans msconfig et dans la liste de processus.

Utilisateur anonyme · Answer

Télécharge HijackThis (outils de dignostic) ici : 

->  Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
->  ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

-> Clique sur Install ensuite sur I Accept 

-> Clique sur Do a scan system and save log file 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

Din31 · Answer

ok, voici le nouveau rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:43:34, on 09/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Gregoire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe

Utilisateur anonyme · Answer

re


oui c est ok


relance toolcleaner et fais ceci :

Désactive et réactive ta restauration system :

(1) Désactiver la Restauration du système 

cliques sur Démarrer 
Cliques droit sur Poste de travail 
cliques sur Propriétés 
Cliques sur l'onglet Restauration du système 
Coches Désactiver la Restauration du système sur tous les lecteurs 
Cliques sur Appliquer, Lorsque le message de confirmation apparaît, 
cliques sur Oui. 
Cliques sur OK. 


(2) Activer la Restauration du système 


cliques sur Démarrer 
Cliques droit sur Poste de travail 
cliques sur Propriétés 
Cliques sur l'onglet Restauration du système 
Décoches Désactiver la Restauration du système sur tous les lecteurs 
Cliques sur Appliquer, Lorsque le message de confirmation apparaît, 
cliques sur Oui. 
Cliques sur OK. 


Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Din31 · Answer

Re!
Merci beaucoup a vous 2 :)
J'espère que ça aura été un minimum intéressant pour vous tout de même :p
Si je veux régler ce problême chez mes amis, je lance flash_disinfector suivi de usbFix, ensuite je vérifie que le fichier virtual basic est bien absent de tout les lecteurs(avec hijackthis ou en affichant tout les fichiers cachés/système) et enfin je vire tout les anciens points de restaurations c'est bien ça ?

Utilisateur anonyme · Answer

re

oui ça été tres instructif , tu as partcipité a la maj de usbfix donc je te remerci


si tu rencontre ce genre de soucs chez des amis passe usbfix en telechargement la derniere version  depuis le meme lien

si tu n as pas d autres soucis change le statut du sujet en resolu stp

http://www.commentcamarche.net/faq/sujet 11365 marquer un fil de discussion comme etant resolu

Din31 · Answer

Ok! je suis fier d'avoir participé a une grande avancée technologique des programmes du label Chiquitine xD.
Encore merci et je met le post en problème résolu évidemment :)
Maintenant je vais enfin pouvoir dormir un peu, bonne nuit (...ou bonne journée on sait jamais où habitent les gens sur le net^^)

++, thx

Utilisateur anonyme · Answer

lol

bonne nuit alors -;) et merci de ta gentilesse

@++

domi · Answer

.

domi · Answer

*LOL* Chuis mort de rire! *ROFL* + *MDR* + *PTDR*

Alors là, on est en plein cauchemard Windaube!

"Télécharge ceci sur blabla.ru" ==> Et tu le fais.
"Lance cela en administrateur" ==> Allons-y! Confiance!
"Ton PC va redémarrer" ==> Oh, ça va, j'ai le temps...
"Poste-nous le résultat" ==> Oh! La belle bleue!
"Télécharge ça" ==> Go!
"Ca va redémarretr" ==> 5mn d'attente...
"Installe l'exécutable" ==> Click!
"Connecte tes bidules amovibles" ==> Sans oublier ton APN, ton GSM, ton GPS, ton lecteur de glycémie, ton ventilateur USB, ...
"Redémarre ton serveur" ==> Ca fait jamais que la troisième fois...

Bon. J'ai LA soluce à ton problème :
- Tu vas ici : www.goodbye-windows.com
- 10 minutes après, tu as un truc plus performant que Windaube, sans virus, sans pertes de mémoire, sans blocages, sans BSOD, etc...
- Tu installes plein de softs performants et gratuits en utilisant Synaptics (mais tu ne trouveras pas d'antivirus, antispywares, anti-bla-bla, ...)
- Sans jamais redémarrer, tu as un super système opérationnel, stable, gratuit.

WSCRIPT.EXE en masse

21 réponses

Discussions similaires

Newsletters