Virus ou autres antivirus suite

Hello,



plusieurs infections sérieuses et un systeme pas à jour ( donc tout ceci n'est pas étonnant )



Sûr que Norton est obsolette .... Il paye une licence chez Norton ? ... les mises à jours de Norton sont-elles faites ? ...



/!\ Pour le bon déroulement de la désinfection :

Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .

Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .

Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

=============================================================



Il me faut un Diagnostique plus précis du PC .... fais ceci dans un premier temps :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

> Laisses travailler l'outil ... ( cela peut-être relativement long )

Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


Puis ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .

Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...

Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

bonjour j'ai un petit probleme j'ai bien telechargé ZHPDiag d'un autre PC j'ai réussi
a le mettre sur le bureau de l'ordi infecté mais impossible de l'ouvrir car il m'ouvre des fenêtres a tout vent tout vas . sur le pc infecté il est casi impossible de faire quoi que soit il ouvre sans arrêt des pages internet sans rien puisque j'ai coupé la connection . A tu une solution pour que je puisse bloquer tout sa pour pouvoir attaquer la premiere étape que tu ma demandé .
merci

salut,


renomme le set-up de l'outil :

ZHPdiag.exe en ZHPDiag.com pour voir .... dis moi si tu arrives à l'installer ....

J'ai arrêté le pc et a la mise en route j'ai reussi a l'installer donc la il tourne . es-ce-que sa pose problème sur le fait que les pages intempestives s'ouvres pendant
qu'il scan

laisse le tourner et ferme les pages si possibles ....


poste moi le rapport obtenu via "Cijoint" comme demandé ....

j'ai bien l'impression qu'il reste bloquer sur le 058 - SDL cela fait un petit momment que je l'observe et sa n'avance plus

cela fait au moins 20 minutes qu'il reste bloquer sur 058-SDL

re,


il a du planter effectivement ...


recommence ... et fait bien clique droit / "executer en tant qu'admin..." pour le lancer .

security warning m'empeche de l'ouvrir de nouveau même en changent le exe en com

j'ai reussi a le remettre en routr comme tout a l'heure mais il bloc de nouveau mais au 064-Services:CurCS . je recommence de nouveau

voila se qu'il est écris ZHPDiag Impossible d'ouvrir le fichier ''C rogramFiles\ZHP\ZHPADSReport.txt''.le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

re,


ce n'est pas ce rapport qu'il me faut ... c'est celui que tu as sauvegardé en appuyant sur le bouton "disquette" lorsque le scan c'est achevé ...


Si tu ne l'as pas sauvegardé de toi même , le rapport ZHPDiag.txt ( et pas ZHPADSReport.txt ) est sauvegardé automatiquement dans ce dossier > C:\Program files\ZHPDiag)

le probleme est qu'il n'est pas complet mais je le poste tout de même.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijJ6JeW...

bien .....



on va faire avec pour le moment ....



dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )






> Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


Pense à réactiver tes défenses une fois la procédure terminée !...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


============================

2- Refais un scan ZHPDiag .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

j'ai un petit souci quand je clic sur nettoyer .il m'affiche directement ceci Impossible
de créer le fichier''C\ProgramFiles\ZHPDiag\ZHPFixQuarantine.txt''.Accès refusé

Arf ...


peut-être que cela vient de l'UAC .



fait ceci avant :

protocole à suivre pour Windows Vista :

Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
http://forum.malekal.com/viewtopic.php?f=59&t=6517

Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , refait la manipe de ZHPFix en faisant bien clique droit / "executer en tant qu'admin..." pour lancer l'outil ...

voila sa a du fonctionner je n'ai déja plus les fenêtres intempestives voila le premier rappaort je passe a l'étape suivant.
ZHPFix v1.12.3085 by Nicolas Coolman - Rapport de suppression du 12/04/2010 16:52:33
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


Processus mémoire :
C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe [175104] => Fichier supprimé au reboot
C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe [270080] => Supprimé et mis en quarantaine

Module mémoire :
C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll [215552] => Supprimé et mis en quarantaine

Clé du Registre :
O9 - Extra 'Tools' menuitem: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} . (.not file.) - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll => Clé absente
O9 - Extra 'Tools' menuitem: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} . (.not file.) - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll => Clé absente

Valeur du Registre :
O4 - HKCU\..\Run: [Canaveral] . (.Pas de propriétaire - Pas de description.) -- C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll => Valeur supprimée avec succès
O4 - HKCU\..\Run: [YVIBBBHA8C] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [hqaqbwkb] . (.UAxOfx - YxYpqC.) -- C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe => Valeur supprimée avec succès

Elément de données du Registre :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 => Donnée supprimée avec succès

Dossier :
C:\Program Files\Freeze.com => Supprimé et mis en quarantaine
C:\Program Files\Smart-Shopper => Supprimé et mis en quarantaine
C:\Users\Proprietaire\AppData\Local\fmigkxubr => Supprimé et mis en quarantaine

Fichier :
c:\users\propri~1\appdata\local\temp\sshnas21.dll => Fichier absent
c:\users\proprietaire\appdata\local\temp\jvh.exe => Fichier supprimé au reboot
c:\users\proprietaire\appdata\local\fmigkxubr\mekvnpntssd.exe => Fichier absent
c:\program files\smart-shopper\bin\2.5.1\smrt-shpr.dll => Fichier absent
c:\windows\tasks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 1
Clé du Registre : 2
Valeur du Registre : 3
Elément de données du Registre : 1
Dossier : 3
Fichier : 5
Logiciel : 0
Autre : 0


End of the scan

voila j'ai refait ZHPDiag je pense qu'il est complet je doit m'arreter travaille oblige je suiverai tes instructions demain merci en attendant .
http://www.cijoint.fr/cjlink.php?file=cj201004/cijDZ37r...

Bien ....




la suite donc :


1- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


=============================

2- On va pouvoir utiliser Malwarebytes ainsi :


mets le à jour ! ( onglet "mise à jour" de Malwarebytes ).


* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


====================================

3- Refais un scan ZHPDiag ( "en tant qu'admin..." ).

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Bonjour voila le rapport Malwarebytes
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 6.0.6000
Internet Explorer 7.0.6000.16890

13/04/2010 07:52:45
mbam-log-2010-04-13 (07-52-45).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 100566
Temps écoulé: 6 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 26
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{022c671f-6cba-4a03-a8f9-3b3a361b235a} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8ad815fc-607b-419f-8b70-d345a507a54e} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wyeke (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Wyeke (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.hbax (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.hbax.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.hbinfoband (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.hbinfoband.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.iebutton (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.iebutton.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.iebuttona (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.iebuttona.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.iebuttonb (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.iebuttonb.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.smrt-shprctrl (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\smart-shopper.smrt-shprctrl.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper (Adware.SmartShopper) -> Quarantined and deleted successfully.
C:\Program Files\Wyeke (Adware.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper - Comapre product prices.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper - Compare travel rate.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper Help.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\Uninstall SmartShopper.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
C:\Program Files\Wyeke\uninstall.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Wyeke\wyeke.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

et voila le rapport ZHPDiag dans l'attente de prochaine information.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWHb8o...

hello,


Malwarebytes n'a pas été mis à jour avant de faire le scan !...



donc recommence stp :



1- Mets a jour Malwarebytes > onglet "mises à jour" ( recommence plusieurs fois jusqu'à ce qu'il ny est plus de disponible ! )


! Déconnecte toi et ferme toutes applications en cours !


Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==============================

2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

désolé voila le rapport.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3983

Windows 6.0.6000
Internet Explorer 7.0.6000.16890

13/04/2010 14:02:35
mbam-log-2010-04-13 (14-02-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 102559
Temps écoulé: 4 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Vu...



UsbFix maintenant ...

voila

############################## | UsbFix V6.103 |

User : Proprietaire (Administrateurs) # PC-DE-PROPRIETA
Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:12:34 | 13/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Disabled
AV : Norton Internet Security 15.0.0.60 [ (!) Disabled | (!) Outdated ]
FW : Norton Internet Security[ Enabled ]15.0.0.60

C:\ -> Disque fixe local # 100,65 Go (38,97 Go free) # NTFS
D:\ -> Disque fixe local # 11,14 Go (2,22 Go free) [PRESARIO_RP] # NTFS
E:\ -> Disque CD-ROM # 554,43 Mo (0 Mo free) [Hitman2] # CDFS
F:\ -> Disque amovible # 974,73 Mo (972,19 Mo free) [KINGSTON U3] # FAT
G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [KINGSTON U3] # CDFS
H:\ -> Disque amovible # 124,47 Mo (123,11 Mo free) # FAT

################## | Elements infectieux |

E:\autorun.inf
E:\auto.exe
E:\autorun.exe
E:\autorun.ini
F:\msvcr71.dll
F:\Knight.exe
G:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\F
shell\AutoRun\command =F:\wd_windows_tools\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{29f4d454-6275-11de-94e2-001eec2df0d2}
shell\AutoRun\command =F:\wd_windows_tools\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{3d401773-5ff8-11de-96a1-806e6f6e6963}
shell\AutoRun\command =E:\Eautorun.exe

HKCU\..\..\Explorer\MountPoints2\{4f93787d-4622-11df-8e1f-001eec2df0d2}
shell\AutoRun\command =G:\LaunchU3.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.103 ! |

re,



vire les CD qui se trouvent dans tes lecteur stp !



Puis fait la suite dans l'ordre :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


==============================

2- Refais un scan ZHPDiag .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

re voila le rapport Cijoint et UsbFix
http://www.cijoint.fr/cjlink.php?file=cj201004/cijKjxaK...

############################## | UsbFix V6.103 |

User : Proprietaire (Administrateurs) # PC-DE-PROPRIETA
Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:45:14 | 13/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Disabled
AV : Norton Internet Security 15.0.0.60 [ (!) Disabled | (!) Outdated ]
FW : Norton Internet Security[ Enabled ]15.0.0.60

C:\ -> Disque fixe local # 100,65 Go (39,01 Go free) # NTFS
D:\ -> Disque fixe local # 11,14 Go (2,22 Go free) [PRESARIO_RP] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 974,73 Mo (973,89 Mo free) [KINGSTON U3] # FAT
G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [KINGSTON U3] # CDFS

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2711420003-3172864683-226646052-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-500
Supprimé ! F:\msvcr71.dll
Supprimé ! F:\Knight.exe
(!) Non supprimé ! G:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{29f4d454-6275-11de-94e2-001eec2df0d2}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4f93787d-4622-11df-8e1f-001eec2df0d2}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[19/11/2007 06:27|--a------|74] C:\autoexec.bat
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr
[18/09/2006 23:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[19/11/2007 06:03|--ah-----|360] C:\IPH.PH
[?|?|?] C:\pagefile.sys
[13/04/2010 15:48|--a------|2155] C:\UsbFix.txt
[12/04/2010 16:52|--a------|105166] C:\ZHPExportRegistry-12-04-2010-16-52-33.txt
[11/09/2005 17:18|---hs----|340] D:\AUTOMODE
[23/06/2009 15:24|---hs----|13] D:\BLOCK.RIN
[04/10/2006 01:02|---hs----|438328] D:\bootmgr
[06/09/2008 13:19|---hs----|891] D:\Desktop.ini
[10/09/2002 18:14|---hs----|8134] D:\Folder.htt
[23/06/2009 15:42|--ahs----|828] D:\MASTER.LOG
[29/01/2007 19:59|---hs----|109342] D:\protect.chinese hong kong
[29/01/2007 19:59|---hs----|109360] D:\protect.chinese simplified
[29/01/2007 19:59|---hs----|109342] D:\protect.chinese traditional
[14/02/2007 20:30|---hs----|111653] D:\protect.czech
[29/01/2007 19:55|---hs----|109124] D:\protect.danish
[29/01/2007 19:57|---hs----|109049] D:\protect.dutch
[29/01/2007 19:55|---hs----|109092] D:\protect.ed
[29/01/2007 19:55|---hs----|109092] D:\protect.english
[29/01/2007 19:56|---hs----|109092] D:\protect.finnish
[29/01/2007 19:56|---hs----|109060] D:\protect.french
[29/01/2007 19:55|---hs----|109094] D:\protect.german
[14/02/2007 20:38|---hs----|112541] D:\protect.greek
[14/02/2007 20:40|---hs----|112375] D:\protect.hebrew
[28/08/2007 16:57|---hs----|111475] D:\protect.hungarian
[29/01/2007 19:56|---hs----|108979] D:\protect.italian
[29/01/2007 19:57|---hs----|109795] D:\protect.japanese
[29/01/2007 19:57|---hs----|109487] D:\protect.korean
[14/02/2007 20:44|---hs----|111402] D:\protect.norwegian
[14/02/2007 20:45|---hs----|111585] D:\protect.polish
[14/02/2007 20:46|---hs----|111448] D:\protect.portuguese
[14/02/2007 20:46|---hs----|111697] D:\protect.portuguese brazilian
[29/01/2007 19:58|---hs----|163804] D:\protect.russian
[29/01/2007 19:55|---hs----|109016] D:\protect.spanish
[14/02/2007 20:48|---hs----|111445] D:\protect.swedish
[14/02/2007 20:49|---hs----|111598] D:\protect.turkish
[20/05/2008 19:01|---hs----|0] D:\USER
[15/01/2008 13:44|---hs----|17920] F:\Thumbs.db
[13/02/2006 21:14|-r-------|145] G:\autorun.inf
[28/02/2006 17:07|-r-------|2999761] G:\LaunchPad.zip
[13/02/2006 21:14|-r-------|921600] G:\LaunchU3.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Proprieta.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.103 ! |

Bien ....



dis moi comment va le PC .... du mieux ?



Puis fai ceci :


1- Rends sur cette page :
> http://chiquitine.changelog.fr/Sample/Upload.php

* clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-de-Proprieta.zip .

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser", choisis UsbFix .

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-de-Proprieta.zip


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ...  


=============================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal, clique sur le bouton [Scanner] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

la il tourne bien pas de souci pour l'instant voila le rapport
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:35:54 le 13/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista™ HomeBasic - X86
Nom du PC: PC-DE-PROPRIETA | Utilisateur actuel: Proprietaire (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Program Files\Viewpoint
C:\ProgramData\Viewpoint
C:\ProgramData\Wyeke
C:\Users\Proprietaire\AppData\LocalLow\Smart-Shopper
.
HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
HKLM\Software\Freeze.com
HKLM\Software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
HKLM\Software\Viewpoint
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 7.0.6000.16890 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://fr.gdark.com
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://fr.gdark.com
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Presario&pf=laptop
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://fr.gdark.com
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Users\Proprietaire\Favorites\film streaming Serial noceurs.url
C:\Users\Proprietaire\Favorites\YouTube - Eminem - Crack A Bottle.url
.
========================================
.
C:\Users\PROPRI~1\AppData\Local\Temp: 124 Fichier(s), 103 Dossier(s)
C:\Windows\temp: 5 Fichier(s), 0 Dossier(s)
C:\Users\Proprietaire\AppData\Roaming\Microsoft\Windows\Cookies: 15 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 15 Fichier(s), 8 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 3118 Octet(s)
.
Fin à: 16:38:34, 13/04/2010
.
============== E.O.F - SCAN[1] ==============

je doit aller au travail , Bonne fin de journée et merci encore pour ton aide et a demain pour la suite a donner.

Re,



la suite pour demain :



1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


• Clique droit / "executer en tant qu'admin...." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal clique cette fois sue le bouton [Nettoyer] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


============================

2- Refais un scan ZHPDiag ( "en tant qu'admin..." ).

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Bonjour , voila les deux rapports
http://www.cijoint.fr/cjlink.php?file=cj201004/cij3Rvh3...
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 07:20:14 le 14/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista™ HomeBasic - X86
Nom du PC: PC-DE-PROPRIETA | Utilisateur actuel: Proprietaire (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\Viewpoint
C:\ProgramData\Viewpoint
C:\ProgramData\Wyeke
C:\Users\Proprietaire\AppData\LocalLow\Smart-Shopper

(!) -- Fichiers temporaires supprimés.
.
HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
HKLM\Software\Freeze.com
HKLM\Software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
HKLM\Software\Viewpoint
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 7.0.6000.16890 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Users\Proprietaire\Desktop\Patch.exe
C:\Users\Proprietaire\Favorites\film streaming Serial noceurs.url
C:\Users\Proprietaire\Favorites\YouTube - Eminem - Crack A Bottle.url
.
========================================
.
C:\Users\PROPRI~1\AppData\Local\Temp: 4 Fichier(s), 103 Dossier(s)
C:\Users\Proprietaire\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 8 Dossier(s)
.
C:\Ad-Remover\Quarantine: 39 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 3348 Octet(s)
C:\Ad-Report-SCAN[1].txt - 3242 Octet(s)
.
Fin à: 07:22:20, 14/04/2010
.
============== E.O.F - CLEAN[1] ==============

hello,



fait ceci maintenant :


1- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Users\Proprietaire\Desktop\Patch.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note .

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...



=================================

2- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

http://www.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

* Double-clique sur gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit", puis clique sur [scan] .
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

> poste le contenu du rapport stp ...

voila le résultat de virustotal
Fichier Patch.exe_ reçu le 2010.04.14 11:47:08 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 16/40 (40%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 56 et 80 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.14 Riskware.Keygen.BD!IK
AhnLab-V3 5.0.0.2 2010.04.13 -
AntiVir 7.10.6.75 2010.04.14 SPR/Tool.Keygen.BD
Antiy-AVL 2.0.3.7 2010.04.14 -
Authentium 5.2.0.5 2010.04.14 -
Avast 4.8.1351.0 2010.04.14 -
Avast5 5.0.332.0 2010.04.14 -
AVG 9.0.0.787 2010.04.14 -
BitDefender 7.2 2010.04.14 Application.Keygen.BD
CAT-QuickHeal 10.00 2010.04.14 Trojan.Agent.ATV
ClamAV 0.96.0.3-git 2010.04.14 -
Comodo 4596 2010.04.14 ApplicUnsaf.Win32.CrackTool.Multi.~B
DrWeb 5.0.2.03300 2010.04.14 -
eSafe 7.0.17.0 2010.04.13 -
eTrust-Vet 35.2.7425 2010.04.14 -
F-Prot 4.5.1.85 2010.04.13 -
F-Secure 9.0.15370.0 2010.04.14 Application.Keygen.BD
Fortinet 4.0.14.0 2010.04.12 -
GData 19 2010.04.14 Application.Keygen.BD
Ikarus T3.1.1.80.0 2010.04.14 not-a-virus.Keygen.BD
Jiangmin 13.0.900 2010.04.13 -
Kaspersky 7.0.0.125 2010.04.14 -
McAfee 5.400.0.1158 2010.04.14 Generic.dx!fnf
McAfee-GW-Edition 6.8.5 2010.04.14 Riskware.Tool.Keygen.BD
Microsoft 1.5605 2010.04.14 -
NOD32 5027 2010.04.14 MSIL/HackAV.B
Norman 6.04.11 2010.04.14 W32/FakeAV.HUY
nProtect 2010-04-14.01 2010.04.14 Application.Keygen.BD
Panda 10.0.2.7 2010.04.13 -
PCTools 7.0.3.5 2010.04.14 -
Prevx 3.0 2010.04.14 High Risk Worm
Rising 22.43.02.04 2010.04.14 -
Sophos 4.52.0 2010.04.14 -
Sunbelt 6175 2010.04.14 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.04.14 -
TheHacker 6.5.2.0.261 2010.04.14 -
TrendMicro 9.120.0.1004 2010.04.14 -
VBA32 3.12.12.4 2010.04.09 MSIL.HackAV.B
ViRobot 2010.4.14.2276 2010.04.14 -
VirusBuster 5.0.27.0 2010.04.13 -
Information additionnelle
File size: 55808 bytes
MD5...: 471d59c822d102d40f202b70a5c4a88a
SHA1..: 2f1d83a7dd442ed8b2c843725507e1fa4055c3eb
SHA256: 1f2ec34e911c574f36f0093127c05454e5ccba538d7227f59784c3ec5a60bbda
ssdeep: 768:JHlLSw9V5IdvHiDEejsNP2H0MyLPQKT6M5i4+BxxKWtNtJ/IUTH Rb5IxI3
ANPOgLF5ivLI2H

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x926e
timedatestamp.....: 0x48b153ae (Sun Aug 24 12:27:26 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x7274 0x7400 5.56 1e2b724cdd0cbe8048d0b653dd76c645
.sdata 0xa000 0x8a 0x200 2.04 9e40b408731dc8cdf2576f9d55074a9c
.rsrc 0xc000 0x5d00 0x5e00 5.36 4e8728f34c27fa4e64fcd992e64ca575
.reloc 0x12000 0xc 0x200 0.08 f3c2297964ffeedd5273ffbfabf816e7

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic CIL Executable (.NET, Mono, etc.) (72.5%)
Windows Screen Saver (12.9%)
Win32 Executable Generic (8.4%)
Win16/32 Executable Delphi generic (2.0%)
Generic Win/DOS Executable (1.9%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8A5AB8FD...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8A5AB8FD...;/a>
sigcheck:
publisher....: Home
copyright....: Copyright (c) Home 2008
product......: WindowsApplication1
description..: WindowsApplication1
original name: BitDefender 2009 Year 2047.exe
internal name: BitDefender 2009 Year 2047.exe
file version.: 1.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

bien ...

shoote ce patch et fait la suite ....  

un truc vient de s'afficher sur l'ecran en bas a droite gmer.exe-Fichier endommagé
le fichier ou le répertoire C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ est endommagé et illisible. Exécutez l'utilitaire CHKDSK.
je passe part mon pc le sien tourne toujours en scan Gmer

re,





laisse tourner le scan et poste moi le rapport une fois terminé .... on avisera ensuite ...  

je crois bien qu'il a merdé je suis pas sur tout du moins le scan c'est arrêté en bas plus rien ne tourne donc j'envoie le resultat .
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-14 16:33:43
Windows 6.0.6000
Running: gmer.exe; Driver: C:\Users\PROPRI~1\AppData\Local\Temp\kxrdikog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\www-core-vfl158492[1].css 140942 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\www-core-vfl159171[1].js 161462 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\xamateurtube_com[1].jpg 14018 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\xcvfrwgsds.avi.flv.1_320x240[1].jpg 12223 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\xhamster6[1].js 7499 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\XMLHttpRequest[1].js 7165 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\yawporntube.com[1].jpg 23095 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youmomtube.com[1].jpg 8247 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youngxtube.com[1].jpg 14275 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youtube[1].gif 1256 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youtube_com[1].htm 89368 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\yummymature.com[1].jpg 19544 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\yummymummytube.com[1].jpg 7369 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\z9ewuJTnlihoSszU0QiEug[1].jpg 3887 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\_tube4807-new-whores-3.avi.flv.1_320x240[1].jpg 10581 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\hqtubevideos.com[1].jpg 41120 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\hRotator[1].css 688 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\httpErrorPagesScripts[1] 7579 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\HU[1].gif 196 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\hw8.wmv.flv.1_240x180[1].jpg 5264 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ico_star_5[1].gif 894 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ilm_bckgr[1].jpg 1064 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_03[1].jpg 13106 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_04[1].jpg 11831 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_06[1].jpg 10539 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_07[1].gif 8664 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\prohijutnm61.flv.flv.1_240x180[1].jpg 8402 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Raped-Scream-And-Cream---2-White-Models-Taken-To-Black-Club-For-Gangbang.mpg.flv.1_320x240[1].jpg 13063 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_aug25_300x250_15[1].jpg 15138 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_aug25_300x250_16[1].jpg 14514 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_feb17_300x250_04[1].jpg 12023 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_feb2210_300x250_02[1].jpg 12519 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_feb2210_300x250_04[1].jpg 14976 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_jul1309_300x250_16[1].jpg 18320 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Real.Indian.Housewives---2.wmv.flv.1_240x180[1].jpg 6870 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Real.Indian.Housewives---3.wmv.flv.1_240x180[1].jpg 5595 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\reife.wiener.swingerstuten---2.wmv.flv.1_240x180[1].jpg 7413 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\related-bg[1].gif 162 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\related-sidebar-menu-bg[1].gif 1614 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ca55c1bd9a3ef8295be5434a1e875797[1].gif 7545 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\carousel[1].swf 18957 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\categories_btn[1].gif 2958 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\cc29b82b937f776a590527a3e8acd163[1].gif 17607 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\cd9a879881bc074f0c7513f24771415a[1].swf 16514 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\check-24[1].gif 308 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\checkout[1].gif 1525 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\clickcontrl[1].js 2015 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\large_320x240[7].jpg 10389 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\layout[2].css 2949 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Lily-Thai-Bukkake--asian-japanese-japan-.avi.flv.1_320x240[1].jpg 10193 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\little--teen-sexy-teens-.avi.flv.1_240x180[1].jpg 7468 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Little-girl-fucks-young-guy--sexy-amateur-young-teens-.avi.flv.1_240x180[1].jpg 7961 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\localsex_btn[1].gif 2689 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo1414[1].gif 110 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logoPG_02[1].jpg 24659 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo[1].gif 2775 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo[1].jpg 5669 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo[1].png 9852 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\large_320x240[6].jpg 25323 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\matureinsperm.com[1].jpg 10256 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\mimage[5].jpg 8032 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\PriyaRaiWantsDick.wmv.flv.1_240x180[1].jpg 8647 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\r_apr0609_160x200_04[1].jpg 33688 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\signup_button_blue_m[1].gif 843 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\swingers[1].htm 215733 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\urchin[1].js 22678 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\wildmaturemoms.com[1].jpg 8307 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\skinny_ballerina.avi.flv.1_320x240[1].jpg 10326 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SLHjnQxBYWkmNBbz1HMX3rw[1].jpg 6902 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SLtSL35vKvm3pUGc1jnGXodQ[1].jpg 4905 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\sma8[1].js 4548 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\spacer[1].gif 43 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\spacer[2].gif 43 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SprySlidingPanels[1].css 5001 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\sqysxbutwujsuew.wmv.flv.1_320x240[1].jpg 5896 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SRMLU7BdA0vyBRhil70gjA[1].jpg 4464 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\starhalf[1].gif 216 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\streamsex.com[1].jpg 7966 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\style[1].css 947 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\st[1] 0 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\st[2] 4503 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\swap98.wmv.flv.1_320x240[1].jpg 10027 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bangwife2.wmv.flv.1_240x180[1].jpg 6286 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bangwife5.wmv.flv.1_240x180[1].jpg 8432 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bangwife77.wmv.flv.1_240x180[1].jpg 7951 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\banni_re-porte-cl_s-468x60-10[1].swf 85779 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\baraca1.wmv.flv.1_320x240[1].jpg 15127 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bar[1].jpg 5177 bytes
File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bb4092-42.wmv01[1].jpg 4490 bytes

---- EOF - GMER 1.0.15 ----

bon ....



fait ceci stp :


Télécharge OTM (de Old_Timer) sur ton bureau :

http://oldtimer.geekstogo.com/OTM.exe


Double clique sur "OTM.exe" pour ouvrir le prg .

Puis copie ce qui se trouve en citation ci-dessous,





et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

--> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

voila le rapport
All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Proprietaire
->Temp folder emptied: 22289569 bytes
->Temporary Internet Files folder emptied: 4192215 bytes
->Java cache emptied: 8465 bytes
->Flash cache emptied: 43554 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 6229876 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8248 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6027486 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 37,00 mb


OTM by OldTimer - Version 3.1.10.1 log created on 04142010_165714

Files moved on Reboot...

Registry entries deleted on Reboot...

je suis désolé je vais au travail donc pour aujourd'hui terminé je refait toutefois un scan avec gmer et je le posterai demain matin . bonne soirée et merci

re,





pas de prb ... A demain avec ce nouveau rapport ....

désolé le scan a encore bloqué il etait encore ecris ceci gmer.exe-Fichier endommagé
le fichier ou le répertoire C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ est endommagé et illisible. Exécutez l'utilitaire CHKDSK.
donc j'ai été obliger de forcé l'arret du pc et au demarrage il etait ecris ceci aussi
vérification du systeme de fichiers sur C:
le type du systéme de fichiers est NTFS
l'integrité de l'un de vos disques doit être vérifiée.
donc j'ai laissé faire et il est bloqué
a 76% effectués. (243671 descripteurs sur 248128 traités )
248128 descripteurs de sécurité traités.
et plus moyen de faire quoi que ce soit .
donc je vais forcé encore une fois l'arret du pc et refaire de nouveau un scan Gmer que je posterais si cela fonctionne

salut,





non laisse tombé gmer !.... il ne fera rien de mieux ! ....


dis moi , tu as ton CD Original de Windows ?





fais ceci stp :


Télécharge mbr.exe de Gmer :
> http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau ( et pas ailleurs ).

! Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) !

* Double clique sur mbr.exe
> Un rapport sera généré : mbr.log
poste le stp ...

re,
non malheureusement il n'a pas le CD original .
il a beugué de nouveau et voila ce qu'il dit
Signature du problème :
Nom d’événement de problème: BlueScreen
Version du système: 6.0.6000.2.0.0.768.2
Identificateur de paramètres régionaux: 1036

Informations supplémentaires sur le problème :
BCCode: 50
BCP1: B711C008
BCP2: 00000000
BCP3: B067653E
BCP4: 00000000
OS Version: 6_0_6000
Service Pack: 0_0
Product: 768_1

Fichiers aidant à décrire le problème :
C:\WINDOWS\Minidump\Mini041510-01.dmp
C:\Users\Proprietaire\AppData\Local\Temp\WER-46722-0.sysdata.xml
C:\Users\Proprietaire\AppData\Local\Temp\WERF21B.tmp.version.txt

Lire notre déclaration de confidentialité :
http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x04...

voila le rapport log mbr
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

ok ...



la mbr est propre ....



fait tout de même ceci :


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Ferme tes applications en cours ( ainsi que ton navigateur ) .

Déconnecte toi et DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...

Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...

Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


Ensuite :
> Clique droit / "executer en tnat qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


> Poste le rapport Combofix pour analyse et attends la suite ...

voila le rapport combofix
ComboFix 10-04-14.01 - Proprietaire 15/04/2010 14:28:31.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.33.1036.18.2037.1103 [GMT 2:00]
Lancé depuis: c:\users\Proprietaire\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: Norton Internet Security *disabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\Uninstall
c:\windows\system32\KBL.LOG

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.

2010-04-15 11:46 . 2010-04-15 11:46 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-14 14:57 . 2010-04-14 14:57 -------- d-----w- C:\_OTM
2010-04-13 14:35 . 2010-04-14 05:22 -------- d-----w- C:\Ad-Remover
2010-04-13 12:11 . 2010-04-13 13:48 -------- d-----w- C:\UsbFix
2010-04-13 05:36 . 2010-04-13 05:36 5918776 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-13 05:27 . 2010-04-13 05:28 -------- d-----w- c:\program files\CCleaner
2010-04-12 11:08 . 2010-04-12 11:08 -------- d-----w- c:\users\Proprietaire\AppData\Roaming\U3
2010-04-12 08:45 . 2010-04-14 05:51 -------- d-----w- c:\program files\ZHPDiag
2010-04-11 16:35 . 2010-04-11 16:35 -------- d-----w- c:\program files\Trend Micro
2010-04-04 14:05 . 2010-04-04 14:06 -------- d-----w- c:\users\Proprietaire\AppData\Roaming\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 11:47 . 2007-11-19 05:08 -------- d-----w- c:\program files\Common Files\Java
2010-04-15 11:46 . 2007-11-19 05:08 -------- d-----w- c:\program files\Java
2010-04-15 11:37 . 2007-11-19 04:37 -------- d-----w- c:\programdata\Microsoft Help
2010-04-15 10:48 . 2007-11-19 11:26 751152 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-15 10:48 . 2007-11-19 11:26 137900 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-14 11:42 . 2007-11-19 02:58 -------- d-----w- c:\programdata\Symantec
2010-04-14 11:42 . 2007-11-19 02:58 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-04-14 11:32 . 2007-11-19 02:59 -------- d-----w- c:\program files\Symantec
2010-04-14 05:42 . 2009-07-10 16:05 5648 ----a-w- c:\users\Proprietaire\AppData\Local\d3d9caps.dat
2010-04-13 05:38 . 2009-06-23 13:43 76960 ----a-w- c:\users\Proprietaire\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-13 05:37 . 2009-09-05 16:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 22:46 . 2009-09-05 16:35 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-09-05 16:35 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-07 08:40 . 2009-08-13 13:49 -------- d-----w- c:\program files\Common Files\Steam
2010-02-26 18:01 . 2010-02-26 18:01 -------- d-----w- c:\program files\directx
2010-02-26 17:59 . 2010-02-26 17:59 -------- d-----w- c:\program files\Eidos Interactive
2010-02-24 09:16 . 2009-10-23 16:46 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-21 14:53 . 2009-12-02 11:38 -------- d-----w- c:\users\Proprietaire\AppData\Roaming\Dofus 2
2010-01-31 13:36 . 2010-01-31 13:36 10134 ----a-r- c:\users\Proprietaire\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-06-25 1232896]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]
"Steam"="c:\program files\Valve\Steam\Steam.exe" [2010-02-20 1217872]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-28 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-28 137752]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-10-10 212992]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-27 202032]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-11-19 1006264]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Contenu du dossier 'Tâches planifiées'

2010-04-15 c:\windows\Tasks\PCConfidential.job
- c:\program files\Winferno\PC Confidential\PCConfidential.exe [2009-10-31 13:10]

2010-04-15 c:\windows\Tasks\RegPowerClean.job
- c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe [2009-10-31 13:48]

2010-04-15 c:\windows\Tasks\RPCReminder.job
- c:\program files\Winferno\RegistryPowerCleaner\RPCReminder.exe [2009-10-31 13:34]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-04-15 14:37:14
ComboFix-quarantined-files.txt 2010-04-15 12:37

Avant-CF: 41 866 743 808 octets libres
Après-CF: 41 815 109 632 octets libres

- - End Of File - - 57A6164F750AB9CD5BED1E0223E23F05

Bien ...




fais ceci maintenant :


1- Créer un doc texte sur ton bureau :

Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Reg::
[-HKCU\Software\Winferno]
[-HKLM\Software\Winferno]

File::
c:\windows\Tasks\PCConfidential.job
c:\program files\Winferno\PC Confidential\PCConfidential.exe
c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe
c:\program files\Winferno\RegistryPowerCleaner\RPCReminder.exe
c:\windows\Tasks\RPCReminder.job
c:\windows\Tasks\RegPowerClean.job

Folder::
c:\program files\Winferno
C:\Program Files\Common Files\Winferno

FileLook::
c:\users\Proprietaire\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
c:\windows\system32\igfxtvcx.dll

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

Regarde ici :


Cette manipulation va relancer Combofix !

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

envoie de fichiers pour analyses supplémentaire
ComboFix a besoin de soumettre les malwares à des analyses plus poussées.
Merci de vous assurer que votre PC est connecté à l'internet avant de cliquer sur OK
donc la petit sousi le bureau n'est plus afficher donc je ne peut pas me connecter
a internet que fait ton merci