Antivirus xp 2009 comment le supprimer? [Résolu/Fermé]

Signaler
-
 Miguel -
Bonjour,

j'ai le fameux virus qui est venu sur mon pc, de plus mon bureau a été modifié car une partie des icones ont été virées? que faire

43 réponses

Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Salut,


commence par faire ceci pour voire de quoi il retourne exactement :



Télécharge et installe le logiciel HijackThis :

ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnecte toi et ferme toutes tes applications en cours !!

Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Poste le rapport généré pour analyse ...
Merci pour ta réponse, Voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:22:02, on 16.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\yyy6648.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpc.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\MAITREA1\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bluewin.ch/de/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\yyy6648.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Stockmar
O17 - HKLM\Software\..\Telephony: DomainName = Stockmar
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer = 10.40.2.25,164.128.36.36,164.128.36.37
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Bien ...

ton syteme n'est pas à jours ! Il ne faut pas s'étonner ! ..... une fois le pc clean , on s'occupera de tout cela ...


Commence par ceci :

Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
Voici le rapport:
SmitFraudFix v2.386

Rapport fait à 10:01:48.48, 16.12.2008
Executé à partir de C:\Documents and Settings\MAITREA1\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\yyy6648.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpc.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\k.txt PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MAITREA1


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MAITREA1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MAITREA1\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MAITREA1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection
DNS Server Search Order: 10.40.2.25
DNS Server Search Order: 164.128.36.36
DNS Server Search Order: 164.128.36.37

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer=10.40.2.25,164.128.36.36,164.128.36.37
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer=10.40.2.25,164.128.36.36,164.128.36.37
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer=10.40.2.25,164.128.36.36,164.128.36.37


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
bon , Smthifraud passe à travers ...


on va faire autrement :


1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Files
C:\WINDOWS\k.txt



et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... Puis le résultat de la suppression s'affiche dans le cadre de gauche .

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Voici le rapport OTmoveit3 d'abord:

========== FILES ==========
C:\WINDOWS\k.txt moved successfully.

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12162008_101128
> Miguel
puis l'info.txt:
info.txt logfile of random's system information tool 1.04 2008-12-16 10:14:53

======Uninstall list======

-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware SE Personal-->C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Download Manager 2.0 (Remove Only)-->"C:\Program Files\Fichiers communs\Adobe\ESD\uninst.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Shockwave Player 11-->C:\WINDOWS\System32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\System32\Adobe\SHOCKW~1\Install.log
Cabri-géomètre II-->C:\Cabri\DESINST C:\Cabri\INSTALL.LOG
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
C-Media WDM Audio Driver-->C:\WINDOWS\system32\cmirmdrv.exe
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]-->C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
Correctif Windows XP (SP2) Q819696-->C:\WINDOWS\$NtUninstallQ819696$\spuninst\spuninst.exe
Divx Mpeg4-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{50EBAEE0-D5BB-11D3-8967-0080C74AF6D7}\setup.exe"
Flora Helvetica 2.0 (f)-->MsiExec.exe /X{1E8CB7B7-157B-11D5-A6F6-0050DACF0BB9}
Graphmatica-->C:\Program Files\Graphmatica\uninstall.exe
HijackThis 2.0.2-->"C:\Documents and Settings\MAITREA1\Bureau\HijackThis.exe" /uninstall
hp LaserJet 1160/1320 series-->MsiExec.exe /x {7F04B272-E0DD-47E7-8B55-D97483DB0EBD}
HP LaserJet P1500 series-->C:\Program Files\Avago-HP\{c8d7a613-0120-479e-aba1-586666f9c8af}\uninstall.exe SYSTEMWASP "C:\Program Files\Avago-HP\{c8d7a613-0120-479e-aba1-586666f9c8af}"
HP Software Update-->MsiExec.exe /X{90B5E602-1867-449D-86FD-FC9DEA4434BF}
HPSSupply-->MsiExec.exe /X{7902E313-FF0F-4493-ACB1-A8147B78DCD0}
Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe
Internet Explorer Q832894-->C:\WINDOWS\ieuninst.exe C:\WINDOWS\INF\Q832894.inf
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
J2SE Runtime Environment 5.0 Update 9-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090}
Java 2 Runtime Environment, SE v1.4.2_03-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Le Cruciverbiste en herbe-->"C:\Program Files\Le Cruciverbiste en herbe\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Micro Application - Atlas 3D du Corps humain-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Micro Application\Atlas 3D du Corps humain\Uninst.isu"
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (0.8.)-->C:\WINDOWS\UninstallFirefox.exe /ua "0.8. (fr)"
Mozilla Firefox (3.0.4)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
NVIDIA Windows 2000/XP Display Drivers-->C:\WINDOWS\System32\msiuins.exe
NVIDIA Windows 95/98/ME/2000/XP Stereo Drivers-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall.NT 132 C:\WINDOWS\INF\nvstereo.inf
OpenOffice.org 2.2-->MsiExec.exe /I{7FD7F10E-0666-4C9F-A0A8-422EA5E31C4C}
Outlook Express Update Q330994-->C:\WINDOWS\Q330994.exe C:\WINDOWS\INF\Q330994.inf
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Remove FlyTiers-->C:\WINDOWS\unstall.exe
Spybot - Search & Destroy 1.2-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Symantec AntiVirus Client-->MsiExec.exe /X{0EFC6259-3AD8-4CD2-BC57-D4937AF5CC0E}

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
bien ... continue ;)
Voici le log:

Logfile of random's system information tool 1.04 (written by random/random)
Run by MAITREA1 at 2008-12-16 10:14:49
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 112 GB (96%) free of 117 GB
Total RAM: 511 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:51, on 16.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\yyy6648.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpc.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe
C:\Documents and Settings\MAITREA1\Bureau\RSIT.exe
C:\Documents and Settings\MAITREA1\Bureau\MAITREA1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bluewin.ch/de/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\yyy6648.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Stockmar
O17 - HKLM\Software\..\Telephony: DomainName = Stockmar
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer = 10.40.2.25,164.128.36.36,164.128.36.37
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Bien ...


la suite dans l'ordre :


1- Télécharge UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te sers éventuellement le plus souvent ( mais sans les ouvrir ! ) .


--> Double-clique sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil :

* Tape sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ...

--> Le pc va redémarrer ... laisse travailler l'outil et ne touche à rien ...
( Note : pour les unités externes non utlisées, clique sur "continuer" lors du message d'avertissement )


--> Une fois de retour à ton bureau , attends le message de fin du nettoyage ,
puis appuie sur une touche pour que le rapport "UsbFix.txt" s'affiche .

Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valides .


Une fois ce rapport posté , fais la suite :

======================

2- Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport RSIT ( log.txt ) pour analyse ...

Et voila le rapport:


-------------- UsbFix V2.413.4 ---------------

* User : MAITREA1 - PCMAA1
* Outils mis a jours le 11/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 10:35:10 le 16.12.2008
* Windows Xp - Internet Explorer 6.0.2800.1106


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\1.tmp\b2e.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur de CD-ROM

M: - Lecteur r‚seau ou … distance

T: - Lecteur r‚seau ou … distance


+- Contenu de l'autorun : D:\autorun.inf

[autorun]
OPEN=run.bat
shell\configure=Supports EC
shell\configure\command=run.bat
;Cette autorun a était créé par Autorun Creator. www.xbpromous.com


+- Contenu de l'autorun : M:\autorun.inf

[autorun]
Shellexecute=copy.exe


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[13.01.2004 15:08][--a--c---] C:\AUTOEXEC.BAT
[24.04.2003 13:00][-rahs----] C:\NTDETECT.COM
[12.09.2008 10:29][-rahsc---] C:\boot.ini
[16.12.2008 10:02][--a--c---] C:\rapport.txt
[16.12.2008 10:02][--a--c---] C:\UsbFix.txt
[13.01.2004 15:08][--a--c---] C:\CONFIG.SYS
[13.01.2004 15:08][--a--c---] C:\IO.SYS
[13.01.2004 15:08][--a--c---] C:\MSDOS.SYS
[13.01.2004 15:08][--a--c---] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM


+- Listing des fichiers présents :

[16.04.2006 20:36][-r-------] D:\run.bat
[16.04.2006 20:36][-r-------] D:\autorun.inf

--------------- [ Lecteur E ] ----------------

E: - Lecteur de CD-ROM


+- Listing des fichiers présents :

[05.05.2004 18:16][-r-------] E:\Indigo.exe

--------------- [ Lecteur M ] ----------------

M: - Lecteur r‚seau ou … distance


+- Listing des fichiers présents :

[01.08.2000 16:21][---------] M:\Register.exe
[09.06.1999 10:52][---------] M:\ICEXPLOR.INI
[09.05.2006 20:36][-rahs----] M:\autorun.inf

--------------- [ Lecteur T ] ----------------

T: - Lecteur r‚seau ou … distance


+- Listing des fichiers présents :

[14.05.2005 08:12][---------] T:\picasa2-setup-1884.exe
[14.05.2005 08:12][---------] T:\PictureViewer.exe
[14.05.2005 08:12][---------] T:\QTInfo.exe
[14.05.2005 08:12][---------] T:\QuickTimeInstaller.exe
[14.05.2005 08:12][---------] T:\QuickTimePlayer.exe
[14.05.2005 08:12][---------] T:\QuickTimeUpdater.exe
[14.05.2005 08:12][---------] T:\TempUpdater.exe
[14.05.2005 08:12][---------] T:\winzip90.exe

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Cognac=C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NeroCheck=C:\WINDOWS\System32\\NeroCheck.exe
vptray=C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
StatusClient 2.6=C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
TomcatStartup 2.5=C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
HP Software Update="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [16.12.2008 10:01][--a--c---] C:\WINDOWS\system32\tmp.reg
Supprimé ! - [16.12.2008 10:01][--a--c---] C:\WINDOWS\system32\tmp.txt
Echec de la supression !! - [16.04.2006 20:36] D:\autorun.inf
Echec de la supression !! - [16.04.2006 20:36] D:\autorun.inf
Echec de la supression !! - [16.04.2006 20:36] D:\autorun.inf
Supprimé ! - [09.05.2006 20:36][-rahs----] M:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[13.01.2004 15:08][--a--c---] C:\AUTOEXEC.BAT
[24.04.2003 13:00][-rahs----] C:\NTDETECT.COM
[12.09.2008 10:29][-rahsc---] C:\boot.ini
[16.04.2006 20:36][-r-------] D:\run.bat
[16.04.2006 20:36][-r-------] D:\autorun.inf
[05.05.2004 18:16][-r-------] E:\Indigo.exe
[01.08.2000 16:21][---------] M:\Register.exe
[09.06.1999 10:52][---------] M:\ICEXPLOR.INI
[14.05.2005 08:12][---------] T:\picasa2-setup-1884.exe
[14.05.2005 08:12][---------] T:\PictureViewer.exe
[14.05.2005 08:12][---------] T:\QTInfo.exe
[14.05.2005 08:12][---------] T:\QuickTimeInstaller.exe
[14.05.2005 08:12][---------] T:\QuickTimePlayer.exe
[14.05.2005 08:12][---------] T:\QuickTimeUpdater.exe
[14.05.2005 08:12][---------] T:\TempUpdater.exe
[14.05.2005 08:12][---------] T:\winzip90.exe

--------------- ! Fin du rapport ! ----------------
> Miguel
Voici les 2 rapports:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1134
Windows 5.1.2600 Service Pack 1

16.12.2008 10:43:56
mbam-log-2008-12-16 (10-43-56).txt

Type de recherche: Examen rapide
Eléments examinés: 50081
Temps écoulé: 3 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Logfile of random's system information tool 1.04 (written by random/random)
Run by MAITREA1 at 2008-12-16 10:45:32
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 112 GB (96%) free of 117 GB
Total RAM: 511 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45:32, on 16.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\MAITREA1\Bureau\RSIT.exe
C:\Documents and Settings\MAITREA1\Bureau\MAITREA1.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Stockmar
O17 - HKLM\Software\..\Telephony: DomainName = Stockmar
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer = 10.40.2.25,164.128.36.36,164.128.36.37
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
bon ...




1- ! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Processes
explorer.exe

:Services
KLIF

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Cognac"=-

:Files
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]



et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

==================

2- Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.


Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

=========================

3- Refais un scan RSIT , poste le nouveau "log.txt" obtenu et attends la suite ....

Hello j'ai executé la première partie et windows a ete relancé. La machine me demande un mot de passe avec un domaine et je ne peux pas lui en fournir et donc pas entrer dans windows. J'ai du venir t'ecrire depuis l'ordi d'un collègue. Que puis-je faire? La je vais manger de retour vers 13h00. A tout de suite merci.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
tu ne tapes rien dans les champs , et tape directement sur [entrée] ...

C'est ce que j'ai fait et justement il ne veut rien savoir.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
et quand tu démarrais ton PC le matin , on ne te demandait pas de mot de passe ? ...


essais dans les deux champs : admin


PS : C'est bien un mot de passe pour accèder à ta session ? ...

il ne me demandait rien ce matin, je viens d'arriver je vais aller essayer
> miguel
Ca ne marche pas avec admin...peut on faire qqch au démarrage?
moi aussi j'ai le méme problème le virus de raila odinga à entrer dans mon pc svp donné moi une conseil
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
c'est juste au démarrage où après au momment de rentrer dans ta session ?


Es-tu administrateur du PC ? ...

Mon ordi est sur un réseau ds la boite ou je travaille, je ne suis pas administrateur je pense. Windows se lance puis la boite de dialogue apparait sur le bureau vide.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462 > miguel
la seule soluce sans risque est de voir avec l'administrateur du réseau ( l'informatien ) pour qu'il re-rentre le code !

une fois fais , OTMoveIt finira son travail et on pourra poursuivre ....
>
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012

je vais voir...je te redonne des nouvelles
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462 > miguel
;-)
>
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012

Pas trouvé le directeur responsable mais d'après mes infos il n' y pas de mot de passe et d'autres ordinateurs ont eu ce problème au démarrage et ont été configurés avec un truc appelé watchdog ou qqch comme ça, Ca te dit qqch?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
watchdog ... un terme pour le pare feu d'une suite de sécurité ... ( bitenfender il me semble alors que vous avez Norton ... ) .... bizard ...


sans cela , essaye de démarrer en mode sans échec pour voir si c'est pareil :

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
IL vient deux champs cette fois ci ds la boite de dialogue et impossible d'entrer, il me dit qu'il ne reconnait ni le nom d'utilisateur ni le domaine ni le mot de passe.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Bon ...

pas le choix ... pour ne prendre aucun risque , il faudra voir cela avec l'administrateur ...

Tiens moi au courant une fois la situation rétablit .... on poursuivra le nettoyage ....

C'est bon je suis sur mon PC le nom d'utilisateur etait faux, je suis sur le bureau.
> Miguel
Je dois faire quoi?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
bien ... ^^

poste moi le rapport d'OTmovIt et poursuis la manipe donnée ici :

http://www.commentcamarche.net/forum/affich 9932009 antivirus xp 2009 comment le supprimer?#13
Pour lancer l'analyse je dois ecrire qqch a gauche?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
OTMoveIt , tu l'as déjà fais normalement ...poste moi le rapport qui se trouve dans ce dossier :

"C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



Puis fais la suite ... ^^'
Voici celui de ce matin:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service KLIF stopped successfully.
Service KLIF deleted successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Cognac deleted successfully.
========== FILES ==========
C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12162008_110016

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

Et celui de maintenant en écrivant la même chose à gauche:

========= PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service KLIF stopped successfully.
Service KLIF deleted successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Cognac not found.
========== FILES ==========
File/Folder C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\~tmpb.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\etilqs_PhSPhUhZhfNlOl6vosap scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\toolbox_healer16537.log scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12162008_151016

Files moved on Reboot...
File C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\etilqs_PhSPhUhZhfNlOl6vosap not found!
File move failed. C:\DOCUME~1\MAITREA1\LOCALS~1\Temp\toolbox_healer16537.log scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\XUL.mfl moved successfully.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Impec !


fais la suite maintenant ....

je dois m'absenter un moment , à tout' ....
Voila le rapport:

Logfile of random's system information tool 1.04 (written by random/random)
Run by MAITREA1 at 2008-12-16 15:32:15
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 112 GB (96%) free of 117 GB
Total RAM: 511 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:18, on 16.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\MAITREA1\Bureau\RSIT.exe
C:\Documents and Settings\MAITREA1\Bureau\MAITREA1.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Stockmar
O17 - HKLM\Software\..\Telephony: DomainName = Stockmar
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer = 10.40.2.25,164.128.36.36,164.128.36.37
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Stockmar
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer = 10.40.2.25,164.128.36.36,164.128.36.37
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Stockmar
O17 - HKLM\System\CS2\Services\Tcpip\..\{2BC4F730-1061-4A65-9282-B21746DF481B}: NameServer = 10.40.2.25,164.128.36.36,164.128.36.37
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
très bien ...


dis moi comment va le PC ? encore des soucis ?



puis fais ceci :

Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...

Une fois terminé, poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
Voila:

apport GenProc 2.305 [1] - 16.12.2008 - Windows XP

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

__________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com


Mais mon bureau n'est pas le même que celui avant l'infection par antivirus xp 2009.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Mais mon bureau n'est pas le même que celui avant l'infection par antivirus xp 2009
--> CAD ? précise un peu ... ^^


puis fais ceci dans l'ordre :


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !


Justement, dans on bureau et mes programmes j'avais internet explorer et il n 'y figure plus...
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
simple pour recréer un raccourci :

vas ici > C:\program files\Internet Explorer

dans ce dossier , clique droit sur iexploreur.exe et choisis " envoyer vers " > le bureau .


et voilou ... ;)

Hello désolé je suis parti à la maison hier, je reprends la. Voici le rapport Toolscleaner:

[ Rapport ToolsCleaner version 2.2.7 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\UsbFix.txt: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc\GenProc: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc\GenProc\outil\GenProc[*].html: trouvé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\MAITREA1\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\MAITREA1\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\MAITREA1\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\SmitFraudFix.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc\GenProc\outil\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\MAITREA1\Bureau\GenProc\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\MAITREA1\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: supprimé !
C:\_OtMoveIt: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\MAITREA1\Bureau\GenProc: supprimé !
C:\Documents and Settings\MAITREA1\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
salut,


impec ...la suite maintenant ... ^^
Kaspersky se fait,lentement...
J'ai pu remettre internet explorer comme tu m as dit mais mes favoris ont disparu...a quoi est-ce du?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462 > miguel
au virus que tu as eu ^^'

>
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012

Hello voici le rapport:

KASPERSKY ON-LINE SCANNER REPORT
Thursday, December 18, 2008 8:35:06 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 17/12/2008
Enregistrements dans la base antivirus Kaspersky : 1316399
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
M:\
T:\
U:\
Statistiques de l'analyse
Total d'objets analysés 132162
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:08:40

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\content-prefs.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\cookies.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\downloads.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\formhistory.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\permissions.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\places.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\places.sqlite-journal L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Application Data\Mozilla\Firefox\Profiles\u92sjbj9.default\urlclassifier3.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Historique\History.IE5\MSHist012008121720081218\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\etilqs_Y6TQUAaOp9HOP9yut4Ff L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15412.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15413.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15414.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15415.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15416.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15417.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15418.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15419.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15420.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15422.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15423.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15424.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15425.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15426.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15427.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\jar_cache15428.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temp\toolbox_healer15421.log L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\MAITREA1\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Hewlett-Packard\Toolbox\Apache Tomcat 4.0\conf\faxApps.txt L'objet est verrouillé ignoré
C:\System Volume Information\_restore{C7B7F9C6-AE17-45F1-B8C7-6A40A46B3DEF}\RP1\change.log L'objet est verrouillé ignoré
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx L'objet est verrouillé ignoré
C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll L'objet est verrouillé ignoré
C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré
C:\WINDOWS\Debug\Netlogon.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\gaspt.dll Infecté : Trojan.Win32.BHO.grm ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
Analyse terminée.