Publicités aléatoire sur Internet Explorer.
Résolu
arnolem
-
crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Cela fait plus de 3 jours que j'essaie désespérément de supprimer une infection sur mon PC
Symptomes : Lors de la navigation avec Internet Explorer 7.0, il y a régulièrement des publicité en pleine page pour des Casinos, du porno, des grandes marques comme la Redoute, cdisount, un antivirus 2009...
Tentatives :
- J'ai parcouru plusieurs messages et essayer de nombreuses solutions.
- J'ai essayés au moins 3 utilitaires trouvé à partir de ccm.com en ligne de commande.
- J'ai lancé plusieurs scans avec SpyBot 1.6, CCleaner, adware.
- J'ai supprimé la totalité des contrôles ActiveX en mode sans échecs(mais ils reviennent).
- J'ai supprimé la totalité des applications qui se lance au démarrage
- J'ai démarré en mode invite de commande pour supprimer des fichiers que je n'arrivait même pas a supprimer en mode sans echec.
Bref, j'ai supprimé un tas de cochonnerie mais je me rend compte que tout revient aussitôt. Il y a sûrement encore des trucs qui ne vont pas.
Pourriez-vous me guider dans cette éradication afin que j'arrive enfin à retrouver une navigation calme ?
Merci merci merci beaucoup par avance
PS : Pour ceux qui souhaiterais me conseiller d'installer Firefox, je vous signale que ce n'est pas mon PC :)
Cela fait plus de 3 jours que j'essaie désespérément de supprimer une infection sur mon PC
Symptomes : Lors de la navigation avec Internet Explorer 7.0, il y a régulièrement des publicité en pleine page pour des Casinos, du porno, des grandes marques comme la Redoute, cdisount, un antivirus 2009...
Tentatives :
- J'ai parcouru plusieurs messages et essayer de nombreuses solutions.
- J'ai essayés au moins 3 utilitaires trouvé à partir de ccm.com en ligne de commande.
- J'ai lancé plusieurs scans avec SpyBot 1.6, CCleaner, adware.
- J'ai supprimé la totalité des contrôles ActiveX en mode sans échecs(mais ils reviennent).
- J'ai supprimé la totalité des applications qui se lance au démarrage
- J'ai démarré en mode invite de commande pour supprimer des fichiers que je n'arrivait même pas a supprimer en mode sans echec.
Bref, j'ai supprimé un tas de cochonnerie mais je me rend compte que tout revient aussitôt. Il y a sûrement encore des trucs qui ne vont pas.
Pourriez-vous me guider dans cette éradication afin que j'arrive enfin à retrouver une navigation calme ?
Merci merci merci beaucoup par avance
PS : Pour ceux qui souhaiterais me conseiller d'installer Firefox, je vous signale que ce n'est pas mon PC :)
A voir également:
- Publicités aléatoire sur Internet Explorer.
- Internet explorer - Guide
- Internet explorer 11 - Télécharger - Navigateurs
- Internet explorer 8 - Télécharger - Navigateurs
- Internet explorer 10 - Télécharger - Navigateurs
- Explorer patcher - Télécharger - Personnalisation
17 réponses
Salut,
- Télécharge HijackThis Version 2.02 :
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
- Enregistre HJTInstall.exe sur ton bureau.
- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
- Clique sur Install ensuite sur I Accept
- Clique sur Do a scan system and save log file
- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.
Petit tuto si besoin : http://pageperso.aol.fr/balltrap34/demohijack.htm
- Télécharge HijackThis Version 2.02 :
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
- Enregistre HJTInstall.exe sur ton bureau.
- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
- Clique sur Install ensuite sur I Accept
- Clique sur Do a scan system and save log file
- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.
Petit tuto si besoin : http://pageperso.aol.fr/balltrap34/demohijack.htm
Merci Beaucoup.
Voici le rapport :
Voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:05:03, on 14/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\D-Link\AirPlus G\AirGCFG.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\QuickTime\qttask.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll O2 - BHO: (no name) - {3A7163BD-4B8C-4B0C-9ED0-11CE822A888F} - C:\WINDOWS\system32\khfCuVon.dll O2 - BHO: {dff22f9c-e90b-0efb-b064-9220650672f9} - {9f276056-0229-460b-bfe0-b09ec9f22ffd} - C:\WINDOWS\system32\enaajd.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: (no name) - {E202D2D0-4765-426C-B5AB-BE0586DB8814} - (no file) O2 - BHO: (no name) - {EB338DB6-EC2C-456B-B5AD-ED97FB489684} - C:\WINDOWS\system32\qoMeDSlk.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [6ce91a53] rundll32.exe "C:\WINDOWS\system32\glldsldt.dll",b O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - AppInit_DLLs: oufyqr.dll enaajd.dll O20 - Winlogon Notify: qoMeDSlk - C:\WINDOWS\SYSTEM32\qoMeDSlk.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 5538 bytes
=> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
=> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
=> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
=> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
=> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Je n'ai pas eu besoin de mettre en français, il c'est lancé tout seul.
Voici le rapport :
Voici le rapport :
ComboFix 08-11-12.02 - Famille 2008-11-15 0:00:43.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.103 [GMT 1:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\Famille\Application Data\PCPrivacyCleaner
c:\documents and settings\Famille\Application Data\PCPrivacyCleaner\Logs\scns.log
c:\windows\BM6fda29cf.txt
c:\windows\BM6fda29cf.xml
c:\windows\system32\cwgobh.dll
c:\windows\system32\elvnbkwc.ini
c:\windows\system32\emvhykgp.ini
c:\windows\system32\enaajd.dll
c:\windows\system32\ENWyyyxx.ini
c:\windows\system32\EV02
c:\windows\system32\gjjxcsqa.ini
c:\windows\system32\khfCuVon.dll
c:\windows\system32\ltyvgbwg.ini
c:\windows\system32\lvpcmtdi.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\MSINET.oca
c:\windows\system32\noVuCfhk.ini
c:\windows\system32\noVuCfhk.ini2
c:\windows\system32\pac.txt
c:\windows\system32\tfylofcc.dll
c:\windows\system32\xedgtbpi.dll
c:\windows\system32\xgjqjtvv.dll
c:\windows\system32\yijbcmtw.dll
c:\windows\Tasks\hcptneel.job
c:\windows\Tasks\nmajqcxq.job
----- BITS: Il y a peut-être des sites infectés -----
hxxp://77.74.48.101
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-14 au 2008-11-14 ))))))))))))))))))))))))))))))))))))
.
2008-11-15 00:01 . 2008-11-15 00:01 77,824 --ahs---- c:\windows\system32\khfEWPFu.dll
2008-11-14 23:03 . 2008-11-14 23:03 <REP> d-------- c:\program files\Trend Micro
2008-11-14 22:00 . 2008-11-14 22:00 120 ---hs---- c:\windows\system32\tdlsdllg.ini
2008-11-14 21:46 . 2008-11-14 21:46 <REP> d-------- c:\program files\CCleaner
2008-11-14 21:00 . 2008-11-14 21:00 120 ---hs---- c:\windows\system32\ipbtgdex.ini
2008-11-14 20:54 . 2008-11-14 20:54 77,824 --ahs---- c:\windows\system32\jkkLDWnk.dll
2008-11-14 20:00 . 2008-11-14 21:40 <REP> d-------- c:\program files\Ad-remover
2008-11-14 19:56 . 2008-11-14 19:56 120 ---hs---- c:\windows\system32\wtmcbjiy.ini
2008-11-14 19:27 . 2005-10-19 18:19 1,327,189 --a------ c:\windows\system32\odSupp_M.dll
2008-11-14 19:27 . 2005-11-22 20:56 630,784 --a------ c:\windows\system32\ANIWZCS2.dll
2008-11-14 19:27 . 2005-11-22 20:55 237,568 --a------ c:\windows\system32\wlanapi.dll
2008-11-14 19:27 . 2005-10-19 18:19 204,800 --a------ c:\windows\system32\aIPH.dll
2008-11-14 19:27 . 2005-11-23 10:10 163,840 --a------ c:\windows\system32\WlanApp.dll
2008-11-14 19:27 . 2005-10-19 18:19 57,407 --a------ c:\windows\system32\ANICtl.dll
2008-11-14 19:27 . 2005-10-27 08:55 49,152 --a------ c:\windows\system32\JJAKEn.dll
2008-11-14 19:27 . 2005-10-19 18:19 49,152 --a------ c:\windows\system32\AQCKGen.dll
2008-11-14 19:26 . 2008-11-14 19:27 <REP> d-------- c:\program files\ANI
2008-11-14 19:26 . 2005-11-10 07:13 50,176 --a------ c:\windows\system32\ANIO64.sys
2008-11-14 19:26 . 2005-10-21 15:56 36,864 --a------ c:\windows\system32\ANIOApi.dll
2008-11-14 19:26 . 2005-11-09 15:44 24,288 --a------ c:\windows\system32\ANIO.sys
2008-11-14 19:26 . 2004-10-14 10:29 16,997 --a------ c:\windows\system32\ANIO.VXD
2008-11-14 19:26 . 2004-10-14 10:29 11,904 --a------ c:\windows\system32\anio4.sys
2008-11-14 19:25 . 2008-11-14 19:25 <REP> d-------- c:\program files\D-Link
2008-11-11 14:50 . 2008-11-11 17:20 <REP> d-------- c:\program files\RunAlyzer
2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage réseau
2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage d'impression
2008-11-11 14:44 . 2002-09-25 15:11 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Modèles
2008-11-11 14:44 . 2003-08-04 12:24 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Mes documents
2008-11-11 14:44 . 2002-09-25 16:05 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Menu Démarrer
2008-11-11 14:44 . 2008-11-14 21:03 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Favoris
2008-11-11 14:44 . 2008-11-14 21:22 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Bureau
2008-11-11 14:44 . 2003-08-04 12:24 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Application Data\InterTrust
2008-11-11 14:44 . 2008-11-11 14:44 <REP> d-------- c:\documents and settings\Administrateur.MARTINE
2008-10-22 22:00 . 2008-10-22 22:00 <REP> d-------- c:\documents and settings\Famille\Application Data\Leadertech
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:05 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-14 18:27 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-14 18:16 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-11 13:53 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-10-22 20:18 --------- d-----w c:\documents and settings\Famille\Application Data\OpenOffice.org2
2008-10-01 12:55 115,200 ----a-w c:\windows\system32\okaoequb.dll
2008-10-01 12:55 115,200 ----a-w c:\windows\system32\fyxwbk.dll
2008-10-01 12:52 74,240 ----a-w c:\windows\system32\aqscxjjg.dll
2008-10-01 12:51 34,304 ----a-w c:\windows\system32\hgGvvsQi.dll
2008-10-01 12:51 34,304 ----a-w c:\windows\system32\awtqnnnl.dll
2008-09-30 11:33 115,200 ----a-w c:\windows\system32\mkpdvuge.dll
2008-09-30 11:33 115,200 ----a-w c:\windows\system32\dxmeua.dll
2008-09-30 11:28 73,728 ----a-w c:\windows\system32\gwbgvytl.dll
2008-09-30 11:26 105,472 ----a-w c:\windows\system32\ijoycwhr.dll
2008-09-30 11:25 34,304 ----a-w c:\windows\system32\qoMdDvTN.dll
2008-09-30 11:25 34,304 ----a-w c:\windows\system32\opnmJYSk.dll
2008-09-29 20:26 --------- d-----w c:\program files\Google
2008-09-29 11:28 73,728 ----a-w c:\windows\system32\cwkbnvle.dll
2008-09-29 11:25 11,931 ----a-w c:\windows\system32\apnvmnxg.dll
2008-09-29 11:24 35,328 ----a-w c:\windows\system32\ddcAtrol.dll
2008-09-29 11:24 11,932 ----a-w c:\windows\system32\wsyvocdl.dll
2008-09-27 11:10 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition Classic
2008-09-27 10:34 115,200 ----a-w c:\windows\system32\nkvplm.dll
2008-09-27 10:34 115,200 ----a-w c:\windows\system32\njbqmeoc.dll
2008-09-27 10:30 105,984 ----a-w c:\windows\system32\mxxxwukh.dll
2008-09-25 15:55 --------- d-----w c:\program files\QuickTime
2008-09-25 15:50 --------- d-----w c:\program files\Mindscape
2008-09-25 15:45 --------- d-----w c:\program files\Power IE
2008-09-25 05:38 115,200 ----a-w c:\windows\system32\aneurc(2).dll
2008-09-25 05:29 68,096 ----a-w c:\windows\system32\qoMeDSlk.dll
2008-09-22 12:20 --------- d-----w c:\program files\Java
2006-01-05 10:43 57,376 ----a-w c:\documents and settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}]
2008-09-25 06:29 68096 --a------ c:\windows\system32\qoMeDSlk.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"Google Update"="c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-11-14 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-03-29 233512]
"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-05-24 98304]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"= "c:\windows\system32\qoMeDSlk.dll" [2008-09-25 68096]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk]
2008-09-25 06:29 68096 c:\windows\system32\qoMeDSlk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=oufyqr.dll enaajd.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pandion.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Pandion.lnk
backup=c:\windows\pss\Pandion.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Famille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Famille\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup
[HKLM\~\startupfolder\C:^Documents and Settings^Famille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=c:\documents and settings\Famille\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2003-02-28 20:00 315392 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a------ 2002-07-18 17:36 28672 c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]
--a------ 2002-07-17 10:00 204863 c:\program files\Microsoft Money\System\mnyexpr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-05-24 16:19 98304 c:\program files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-09-29 21:26 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2001-09-04 22:24 28672 c:\windows\system32\Ati2mdxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"SLService"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"gusvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"6ce91a53"=rundll32.exe "c:\windows\system32\xedgtbpi.dll",b
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office10\\WINWORD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\DRIVERS\DP83815.SYS [2003-04-22 18392]
S3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;c:\windows\system32\DRIVERS\FA312nd5.sys [2001-08-17 16074]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\DRIVERS\fbxusb.sys [2003-12-31 18848]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
Contenu du dossier 'Tâches planifiées'
2008-11-14 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-14 22:12]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{2C4E5B2D-D6E7-4736-AAB7-0400C0F4F446} - c:\windows\system32\khfCuVon.dll
BHO-{9f276056-0229-460b-bfe0-b09ec9f22ffd} - c:\windows\system32\enaajd.dll
BHO-{E202D2D0-4765-426C-B5AB-BE0586DB8814} - (no file)
Notify-dimsntfy - (no file)
MSConfigStartUp-Adobe Photo Downloader - c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
MSConfigStartUp-BM6fda29cf - c:\windows\system32\axcrwbmg.dll
MSConfigStartUp-ISTray - c:\program files\Spyware Doctor\pctsTray.exe
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\gr755ars.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.google.mozilla.com/firefox&client=firefox-a&rls=com.google:fr:official
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 00:11:12
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AntiVir PersonalEdition Classic\sched.exe
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
.
**************************************************************************
.
Heure de fin: 2008-11-15 0:21:22 - La machine a redémarré [Famille]
ComboFix-quarantined-files.txt 2008-11-14 23:21:04
Avant-CF: 22,280,445,952 octets libres
Après-CF: 22,162,239,488 octets libres
227 --- E O F --- 2008-09-22 12:31:05
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
J'ai changé l'antivirus qui n'était plus a jour depuis 2 ans et j'ai lancé un scan complet qui a retrouvé énormement de chevaux de troie.
Je viens de relancer aussi un spybot qui a enlevé 10 menaces.
Voici le nouveau rapport HijackThis :
J'ai changé l'antivirus qui n'était plus a jour depuis 2 ans et j'ai lancé un scan complet qui a retrouvé énormement de chevaux de troie.
Je viens de relancer aussi un spybot qui a enlevé 10 menaces.
Voici le nouveau rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:18:41, on 15/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\D-Link\AirPlus G\AirGCFG.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - AppInit_DLLs: oufyqr.dll enaajd.dll zjcuzw.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- End of file - 3123 bytes
Bonjour,
Je viens encore de retirer 3 virus :
- Win32:Neptunia-YO [Trj]
- Win32:Adware-gen [Adw]
- Win32:Dialer-567 [Trj]
Par contre, mes mises à jours windows sont désactivées et impossible de les réactiver (même avec le profil matériel)
Voici mon nouveau rapport :
Je viens encore de retirer 3 virus :
- Win32:Neptunia-YO [Trj]
- Win32:Adware-gen [Adw]
- Win32:Dialer-567 [Trj]
Par contre, mes mises à jours windows sont désactivées et impossible de les réactiver (même avec le profil matériel)
Voici mon nouveau rapport :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:09:20, on 15/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\D-Link\AirPlus G\AirGCFG.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- End of file - 3414 bytes
!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.
Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"6ce91a53"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}]
File::
c:\windows\system32\khfEWPFu.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\okaoequb.dll
c:\windows\system32\fyxwbk.dll
c:\windows\system32\aqscxjjg.dll
c:\windows\system32\hgGvvsQi.dll
c:\windows\system32\awtqnnnl.dll
c:\windows\system32\mkpdvuge.dll
c:\windows\system32\dxmeua.dll
c:\windows\system32\gwbgvytl.dll
c:\windows\system32\ijoycwhr.dll
c:\windows\system32\qoMdDvTN.dll
c:\windows\system32\opnmJYSk.dll
c:\windows\system32\cwkbnvle.dll
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\ddcAtrol.dll
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\nkvplm.dll
c:\windows\system32\njbqmeoc.dll
c:\windows\system32\mxxxwukh.dll
c:\windows\system32\aneurc(2).dll
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\xedgtbpi.dll
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Ensuite,
Télécharge UsbFix sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
--> Lance l’installation avec les paramètres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarrer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.
Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"6ce91a53"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}]
File::
c:\windows\system32\khfEWPFu.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\okaoequb.dll
c:\windows\system32\fyxwbk.dll
c:\windows\system32\aqscxjjg.dll
c:\windows\system32\hgGvvsQi.dll
c:\windows\system32\awtqnnnl.dll
c:\windows\system32\mkpdvuge.dll
c:\windows\system32\dxmeua.dll
c:\windows\system32\gwbgvytl.dll
c:\windows\system32\ijoycwhr.dll
c:\windows\system32\qoMdDvTN.dll
c:\windows\system32\opnmJYSk.dll
c:\windows\system32\cwkbnvle.dll
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\ddcAtrol.dll
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\nkvplm.dll
c:\windows\system32\njbqmeoc.dll
c:\windows\system32\mxxxwukh.dll
c:\windows\system32\aneurc(2).dll
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\xedgtbpi.dll
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Ensuite,
Télécharge UsbFix sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
--> Lance l’installation avec les paramètres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarrer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
Voici le rapport, je lance le second scan :
ComboFix 08-11-12.02 - Famille 2008-11-15 16:41:44.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.82 [GMT 1:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
FILE ::
c:\windows\system32\aneurc(2).dll
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\aqscxjjg.dll
c:\windows\system32\awtqnnnl.dll
c:\windows\system32\cwkbnvle.dll
c:\windows\system32\ddcAtrol.dll
c:\windows\system32\dxmeua.dll
c:\windows\system32\fyxwbk.dll
c:\windows\system32\gwbgvytl.dll
c:\windows\system32\hgGvvsQi.dll
c:\windows\system32\ijoycwhr.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\khfEWPFu.dll
c:\windows\system32\mkpdvuge.dll
c:\windows\system32\mxxxwukh.dll
c:\windows\system32\njbqmeoc.dll
c:\windows\system32\nkvplm.dll
c:\windows\system32\okaoequb.dll
c:\windows\system32\opnmJYSk.dll
c:\windows\system32\qoMdDvTN.dll
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\xedgtbpi.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jjkSvyay.ini
c:\windows\system32\jjkSvyay.ini2
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\qsusmoxr.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\vrdhifrk.dll
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\yayvSkjj.dll
c:\windows\system32\zjcuzw.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-15 au 2008-11-15 ))))))))))))))))))))))))))))))))))))
.
2008-11-15 00:25 . 2008-11-15 00:40 <REP> d-------- c:\windows\system32\CatRoot_bak
2008-11-14 23:03 . 2008-11-14 23:03 <REP> d-------- c:\program files\Trend Micro
2008-11-14 21:46 . 2008-11-14 21:46 <REP> d-------- c:\program files\CCleaner
2008-11-14 20:00 . 2008-11-14 21:40 <REP> d-------- c:\program files\Ad-remover
2008-11-14 19:56 . 2008-11-14 19:56 120 ---hs---- c:\windows\system32\wtmcbjiy.ini
2008-11-14 19:27 . 2005-10-19 18:19 1,327,189 --a------ c:\windows\system32\odSupp_M.dll
2008-11-14 19:27 . 2005-11-22 20:56 630,784 --a------ c:\windows\system32\ANIWZCS2.dll
2008-11-14 19:27 . 2005-11-22 20:55 237,568 --a------ c:\windows\system32\wlanapi.dll
2008-11-14 19:27 . 2005-10-19 18:19 204,800 --a------ c:\windows\system32\aIPH.dll
2008-11-14 19:27 . 2005-11-23 10:10 163,840 --a------ c:\windows\system32\WlanApp.dll
2008-11-14 19:27 . 2005-10-19 18:19 57,407 --a------ c:\windows\system32\ANICtl.dll
2008-11-14 19:27 . 2005-10-27 08:55 49,152 --a------ c:\windows\system32\JJAKEn.dll
2008-11-14 19:27 . 2005-10-19 18:19 49,152 --a------ c:\windows\system32\AQCKGen.dll
2008-11-14 19:26 . 2008-11-14 19:27 <REP> d-------- c:\program files\ANI
2008-11-14 19:26 . 2005-11-10 07:13 50,176 --a------ c:\windows\system32\ANIO64.sys
2008-11-14 19:26 . 2005-10-21 15:56 36,864 --a------ c:\windows\system32\ANIOApi.dll
2008-11-14 19:26 . 2005-11-09 15:44 24,288 --a------ c:\windows\system32\ANIO.sys
2008-11-14 19:26 . 2004-10-14 10:29 16,997 --a------ c:\windows\system32\ANIO.VXD
2008-11-14 19:26 . 2004-10-14 10:29 11,904 --a------ c:\windows\system32\anio4.sys
2008-11-14 19:25 . 2008-11-14 19:25 <REP> d-------- c:\program files\D-Link
2008-11-11 14:50 . 2008-11-11 17:20 <REP> d-------- c:\program files\RunAlyzer
2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage réseau
2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage d'impression
2008-11-11 14:44 . 2002-09-25 15:11 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Modèles
2008-11-11 14:44 . 2003-08-04 12:24 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Mes documents
2008-11-11 14:44 . 2002-09-25 16:05 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Menu Démarrer
2008-11-11 14:44 . 2008-11-14 21:03 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Favoris
2008-11-11 14:44 . 2008-11-15 13:54 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Bureau
2008-11-11 14:44 . 2003-08-04 12:24 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Application Data\InterTrust
2008-11-11 14:44 . 2008-11-11 14:44 <REP> d-------- c:\documents and settings\Administrateur.MARTINE
2008-10-22 22:00 . 2008-10-22 22:00 <REP> d-------- c:\documents and settings\Famille\Application Data\Leadertech
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 14:08 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-15 00:03 --------- d-----w c:\program files\Alwil Software
2008-11-14 18:27 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-14 18:16 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-11 13:53 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-10-22 20:18 --------- d-----w c:\documents and settings\Famille\Application Data\OpenOffice.org2
2008-09-29 20:26 --------- d-----w c:\program files\Google
2008-09-25 15:55 --------- d-----w c:\program files\QuickTime
2008-09-25 15:50 --------- d-----w c:\program files\Mindscape
2008-09-25 15:45 --------- d-----w c:\program files\Power IE
2008-09-22 12:20 --------- d-----w c:\program files\Java
2006-01-05 10:43 57,376 ----a-w c:\documents and settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((( snapshot@2008-11-15_ 0.19.22.07 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-04-27 17:50:00 597,504 ----a-w c:\windows\system32\aswBoot.exe
+ 2008-11-12 16:57:30 1,235,696 ----a-w c:\windows\system32\aswBoot.exe
+ 2008-11-12 16:51:11 97,480 ----a-w c:\windows\system32\AvastSS.scr
+ 2008-11-12 16:51:35 26,944 ----a-w c:\windows\system32\drivers\aavmker4.sys
+ 2008-11-12 16:53:27 20,560 ----a-w c:\windows\system32\drivers\aswFsBlk.sys
+ 2008-11-12 16:54:27 93,296 ----a-w c:\windows\system32\drivers\aswmon.sys
+ 2008-11-12 16:54:19 94,032 ----a-w c:\windows\system32\drivers\aswmon2.sys
- 2006-04-27 17:44:58 16,352 ----a-w c:\windows\system32\drivers\aswRdr.sys
+ 2008-11-12 16:52:28 23,152 ----a-w c:\windows\system32\drivers\aswRdr.sys
+ 2008-11-12 16:53:38 110,160 ----a-w c:\windows\system32\drivers\aswSP.sys
+ 2008-11-12 16:52:37 50,656 ----a-w c:\windows\system32\drivers\aswTdi.sys
+ 2008-11-15 15:50:48 16,384 ----atw c:\windows\temp\Perflib_Perfdata_564.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]
--a------ 2002-07-17 10:00 204863 c:\program files\Microsoft Money\System\mnyexpr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"SLService"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"gusvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office10\\WINWORD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
Contenu du dossier 'Tâches planifiées'
2008-11-15 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-14 22:12]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{275c67c2-f5da-495c-97c2-983a2fd2e680} - c:\windows\system32\zjcuzw.dll
BHO-{950CF789-AE5D-4A3A-B35C-419DF4E0A641} - c:\windows\system32\yayvSkjj.dll
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 16:52:03
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2008-11-15 17:16:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-15 16:16:02
ComboFix2.txt 2008-11-14 23:21:28
Avant-CF: 24 662 511 616 octets libres
Après-CF: 24,604,569,600 octets libres
168 --- E O F --- 2008-11-15 16:15:21
Voici le second rapport :
-------------- UsbFix V2.407 ---------------
* User : Famille - MARTINE
* Outils mis a jours le 14/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 17:57:14 le 15/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\DOCUME~1\Famille\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
D: - Lecteur de CD-ROM
+- Contenu de l'autorun : D:\autorun.inf
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
D-Link AirPlus G REG_SZ C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
ANIWZCS2Service REG_SZ C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
--------------- [ Registre / Mountpoint2 ] ----------------
-> Recherche négative.
--------------- [ Nettoyage des disques ] ----------------
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.exe
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf
--------------- [ Listing des fichiers présents ] ----------------
-> /!\ Le resultat doit etre interprété par un spécialiste /!\
[25/09/2002 15:17][--a------] C:\AUTOEXEC.BAT
[28/09/2005 16:14][-rahs----] C:\NTDETECT.COM
[22/10/2008 21:23][--ahs----] C:\boot.ini
[27/05/2005 09:38][-r-------] D:\AUTORUN.EXE
[27/05/2005 09:38][-r-------] D:\AUTORUN.INF
--------------- ! Fin du rapport ! ----------------
Je viens de refaire un scan avec avast qui a retrouvé encore les 3 même virus. Je ne sais vraiment plus quoi faire.
Besoin d'un nouveau rapport Hijakthis ?
Besoin d'un nouveau rapport Hijakthis ?
/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip’ est spécifique au PC de l’utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.
Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :
File::
c:\windows\system32\wtmcbjiy.ini
c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Qu'est-ce qu'avast t'a trouvé ?? Poste le rapport de l'antivirus.
Cette manip’ est spécifique au PC de l’utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.
Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :
File::
c:\windows\system32\wtmcbjiy.ini
c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Qu'est-ce qu'avast t'a trouvé ?? Poste le rapport de l'antivirus.
Merci beaucoup beaucoup !!
J'ai réussi grâce à ton aide.
Il fallait désactiver la restauration du système car il y avait 3 virus dans les fichiers de restauration.
j'ai ensuite réussi à supprimer les virus sans qu'il ne apparaissent.
Par contre, je ne peux pas te faire de nouveau rapport, j'ai rendu ce PC à sa famille.
Merci pour ton soutiens :)
J'ai réussi grâce à ton aide.
Il fallait désactiver la restauration du système car il y avait 3 virus dans les fichiers de restauration.
j'ai ensuite réussi à supprimer les virus sans qu'il ne apparaissent.
Par contre, je ne peux pas te faire de nouveau rapport, j'ai rendu ce PC à sa famille.
Merci pour ton soutiens :)
