Besoin d'aide - Virus - Windows XP Recovery
Dernière réponse : dans Sécurité
Bonjour à tous,
Voilà, j'ai un problème sur mon PC: au démarrage, une fenêtre apparaît "Windows Xp Recovery". Le bureau est noir, aucun icône, plus aucun programme dans le menu démarrer et un de mes disques durs (C) paraît vide (ça n'a pas l'air d'être vraiment le cas, les programmes restent accessibles par d'autres biais).
Quelqu'un pourrait-il me venir en aide s'il-vous-plaît?
D'avance merci.
Voilà, j'ai un problème sur mon PC: au démarrage, une fenêtre apparaît "Windows Xp Recovery". Le bureau est noir, aucun icône, plus aucun programme dans le menu démarrer et un de mes disques durs (C) paraît vide (ça n'a pas l'air d'être vraiment le cas, les programmes restent accessibles par d'autres biais).
Quelqu'un pourrait-il me venir en aide s'il-vous-plaît?
D'avance merci.
Autres pages sur : besoin aide virus windows recovery
Lassé par la pub ? Créez un compte
Bonjour,
Arrêter ces processus Windows XP Recovery:
[random].exe
%Temp%\[random].exe
Supprimer ces fichiers Windows XP Recovery:
%Programs%\Windows XP Recovery\Windows XP Recovery.lnk
%Programs%\Windows XP Recovery
%Temp%\dfrg
%Temp%\[random]
%Temp%\dfrgr
%Desktop%\Windows XP Recovery.lnk
%Temp%\[random].exe
Supprimer ces entrées de registre Windows XP Recovery:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run “[random].exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run “[random]”
Tien nous au courant![:)]( ":)")
Arrêter ces processus Windows XP Recovery:
[random].exe
%Temp%\[random].exe
Supprimer ces fichiers Windows XP Recovery:
%Programs%\Windows XP Recovery\Windows XP Recovery.lnk
%Programs%\Windows XP Recovery
%Temp%\dfrg
%Temp%\[random]
%Temp%\dfrgr
%Desktop%\Windows XP Recovery.lnk
%Temp%\[random].exe
Supprimer ces entrées de registre Windows XP Recovery:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run “[random].exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run “[random]”
Tien nous au courant
Si tu a accée a internet télécharge et exécute Combofix -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Puis fait un scan avec Ccleaner -> http://www.filehippo.com/download_ccleaner/
puis tu redémarre et normalement c bon![:)]( ":)")
Puis fait un scan avec Ccleaner -> http://www.filehippo.com/download_ccleaner/
puis tu redémarre et normalement c bon
Alors y'a du mieux ![:)]( ":)")
Je n'ai plus la fenêtre Windows Xp Recovery qui s'ouvre au démarrage, ni les messages d'erreur de disque dur. J'ai également retrouvé le contenu des programmes du menu démarrer. Ca c'est bon.
Par contre, je n'ai pas retrouvé l'affichage de mon bureau (ni mon papier peint ni les icônes et fichiers (qui restent accessible tout de même par le poste de travail)) ni les raccourcis que j'avais mis dans la barre de lancement rapide.
Benjamin
Je n'ai plus la fenêtre Windows Xp Recovery qui s'ouvre au démarrage, ni les messages d'erreur de disque dur. J'ai également retrouvé le contenu des programmes du menu démarrer. Ca c'est bon.Par contre, je n'ai pas retrouvé l'affichage de mon bureau (ni mon papier peint ni les icônes et fichiers (qui restent accessible tout de même par le poste de travail)) ni les raccourcis que j'avais mis dans la barre de lancement rapide.
Benjamin
Salut,
je prends la suite ...![;)]( ";)")
donc dans l'ordre :
1- copie/colle moi le contenu du rapport ComboFix que tu as obtenu stp .
il se trouve ici > C:\Combifx.txt
============================
2- Télécharge![]()
Unhide.exe (de Grinler) sur ton Bureau.
! Désactive ton anti-virus le temps de la manipe !
Lance Unhide .
Laisse l'outil tourner.
Ferme la fenêtre une fois finit .
Normalement, ce qui avait disparu du bureau doit être de nouveau visible ... Dis moi alors ce qu'il en est de ce côté là ...
( pour le fond d'écran , faut le remettre toi même ... )
==============================
3- pour voir ce qu'il reste encore à faire , il me faut un diagnostique précis de l'ordi :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).
A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .
Une fois ZHPDiag ouvert, clique sur le bouton "option" ![]()
en haut sur la droite :
Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .
Clique sur le bouton "calendrier" ![]()
qui est en haut à droite : choisis 15 days
Puis clique sur le bouton de "la loupe" ![]()
( en haut à gauche ) pour lancer le scan .
> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.
Ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
je prends la suite ...
donc dans l'ordre :
1- copie/colle moi le contenu du rapport ComboFix que tu as obtenu stp .
il se trouve ici > C:\Combifx.txt
============================
2- Télécharge
Unhide.exe (de Grinler) sur ton Bureau.! Désactive ton anti-virus le temps de la manipe !
Normalement, ce qui avait disparu du bureau doit être de nouveau visible ... Dis moi alors ce qu'il en est de ce côté là ...
( pour le fond d'écran , faut le remettre toi même ... )
==============================
3- pour voir ce qu'il reste encore à faire , il me faut un diagnostique précis de l'ordi :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
en haut sur la droite :Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .
qui est en haut à droite : choisis 15 days
( en haut à gauche ) pour lancer le scan .> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
Ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Alors voilà déjà le rapport:
ComboFix 11-06-15.04 - Benjamin Brabant 22/06/2011 22:21:06.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.648 [GMT 2:00]
Lancé depuis: c:\documents and settings\Benjamin Brabant\Bureau\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
- Mode FONCTIONNALITES REDUITES -
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\All Users\Application Data\15195940.exe
c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe
c:\documents and settings\Benjamin Brabant\Bureau\Windows XP Recovery.lnk
c:\documents and settings\Benjamin Brabant\Menu Démarrer\Programmes\Windows XP Recovery
c:\documents and settings\Benjamin Brabant\Menu Démarrer\Programmes\Windows XP Recovery\Uninstall Windows XP Recovery.lnk
c:\documents and settings\Benjamin Brabant\Menu Démarrer\Programmes\Windows XP Recovery\Windows XP Recovery.lnk
c:\webupdater\WebUpdater.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-22 au 2011-06-22 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-16 16:17 . 2011-06-16 16:17 -------- d-----w- c:\program files\CCleaner
2011-06-16 16:16 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-16 16:15 . 2011-04-29 19:07 852480 -c----w- c:\windows\system32\dllcache\vgx.dll
2011-06-15 16:20 . 2011-06-15 16:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-15 16:05 . 2011-06-15 16:20 -------- d-----w- c:\program files\ZHPDiag
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2009-02-16 18:07 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2002-08-29 01:59 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 14:47 . 2006-06-23 12:28 671232 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 14:47 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2011-04-25 14:47 . 2001-08-28 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-04-25 14:42 . 2004-08-19 22:56 371200 ------w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2002-08-29 02:12 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-05-16 11:07 . 2011-05-16 11:07 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2008-09-19 18:28 . 2009-02-16 18:57 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"VyuAmrmEfIELC"="c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-12-09 7311360]
"nwiz"="nwiz.exe" [2005-12-09 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-12-09 86016]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-20 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-19 110592]
NETGEAR WG311v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG311v3\WG311v3.exe [2007-11-21 1507328]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/09/2009 14:26 108289]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06/10/2010 22:36 27632]
S2 gupdate1c9dc4fe8b65d84;Service Google Update (gupdate1c9dc4fe8b65d84);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgmdbus;LG Mobile driver (WDM);c:\windows\system32\DRIVERS\lgmdbus.sys --> c:\windows\system32\DRIVERS\lgmdbus.sys [?]
S3 lgmdmdfl;LG Mobile USB WMC Modem Filter;c:\windows\system32\DRIVERS\lgmdmdfl.sys --> c:\windows\system32\DRIVERS\lgmdmdfl.sys [?]
S3 lgmdmdm;LG Mobile USB WMC Modem Driver;c:\windows\system32\DRIVERS\lgmdmdm.sys --> c:\windows\system32\DRIVERS\lgmdmdm.sys [?]
S3 lgmdmgmt;LG Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\lgmdmgmt.sys --> c:\windows\system32\DRIVERS\lgmdmgmt.sys [?]
S3 lgmdobex;LG Mobile USB WMC OBEX Interface;c:\windows\system32\DRIVERS\lgmdobex.sys --> c:\windows\system32\DRIVERS\lgmdobex.sys [?]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [01/01/2010 06:13 19712]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [01/01/2010 06:13 8320]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [01/01/2010 06:13 42752]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-22 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-16 12:43]
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.mini20.com
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-22 22:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus CX3600 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"????????????????????????????????????????p?????<~0?9~????*?9~??:~????w?;~????????????????,tY???:~????????????????????T?????????????<~??:~??????:~o?:~?tY???????????:~????????????????????????????s??|?????????tY?????????????w?;~S?:~??:~?v:~????????????????????????8???F<??6???????????4????I:~????????????????P???????????????T????J:~????P????????S????????????????;~????P?????????;~P???????8???????????`??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\MrvGINA.dll
.
- - - - - - - > 'Explorer.exe'(2748)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-06-22 22:25:32
ComboFix-quarantined-files.txt 2011-06-22 20:25
.
Avant-CF: 17 852 088 320 octets libres
Après-CF: 17 850 888 192 octets libres
.
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 70A310CB0E4483980AF910E797E3E3D8
Alors par contre je retrouvais pas le rapport de Combofix, du coup je l'ai relancé et depuis j'ai récupéré mon bureau... Du coup est-ce nécessaire d'exécuter Unhide.exe?
ComboFix 11-06-15.04 - Benjamin Brabant 22/06/2011 22:21:06.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.648 [GMT 2:00]
Lancé depuis: c:\documents and settings\Benjamin Brabant\Bureau\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
- Mode FONCTIONNALITES REDUITES -
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\All Users\Application Data\15195940.exe
c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe
c:\documents and settings\Benjamin Brabant\Bureau\Windows XP Recovery.lnk
c:\documents and settings\Benjamin Brabant\Menu Démarrer\Programmes\Windows XP Recovery
c:\documents and settings\Benjamin Brabant\Menu Démarrer\Programmes\Windows XP Recovery\Uninstall Windows XP Recovery.lnk
c:\documents and settings\Benjamin Brabant\Menu Démarrer\Programmes\Windows XP Recovery\Windows XP Recovery.lnk
c:\webupdater\WebUpdater.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-22 au 2011-06-22 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-16 16:17 . 2011-06-16 16:17 -------- d-----w- c:\program files\CCleaner
2011-06-16 16:16 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-16 16:15 . 2011-04-29 19:07 852480 -c----w- c:\windows\system32\dllcache\vgx.dll
2011-06-15 16:20 . 2011-06-15 16:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-15 16:05 . 2011-06-15 16:20 -------- d-----w- c:\program files\ZHPDiag
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2009-02-16 18:07 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2002-08-29 01:59 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 14:47 . 2006-06-23 12:28 671232 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 14:47 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2011-04-25 14:47 . 2001-08-28 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-04-25 14:42 . 2004-08-19 22:56 371200 ------w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2002-08-29 02:12 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-05-16 11:07 . 2011-05-16 11:07 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2008-09-19 18:28 . 2009-02-16 18:57 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"VyuAmrmEfIELC"="c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-12-09 7311360]
"nwiz"="nwiz.exe" [2005-12-09 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-12-09 86016]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-20 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-19 110592]
NETGEAR WG311v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG311v3\WG311v3.exe [2007-11-21 1507328]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/09/2009 14:26 108289]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06/10/2010 22:36 27632]
S2 gupdate1c9dc4fe8b65d84;Service Google Update (gupdate1c9dc4fe8b65d84);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgmdbus;LG Mobile driver (WDM);c:\windows\system32\DRIVERS\lgmdbus.sys --> c:\windows\system32\DRIVERS\lgmdbus.sys [?]
S3 lgmdmdfl;LG Mobile USB WMC Modem Filter;c:\windows\system32\DRIVERS\lgmdmdfl.sys --> c:\windows\system32\DRIVERS\lgmdmdfl.sys [?]
S3 lgmdmdm;LG Mobile USB WMC Modem Driver;c:\windows\system32\DRIVERS\lgmdmdm.sys --> c:\windows\system32\DRIVERS\lgmdmdm.sys [?]
S3 lgmdmgmt;LG Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\lgmdmgmt.sys --> c:\windows\system32\DRIVERS\lgmdmgmt.sys [?]
S3 lgmdobex;LG Mobile USB WMC OBEX Interface;c:\windows\system32\DRIVERS\lgmdobex.sys --> c:\windows\system32\DRIVERS\lgmdobex.sys [?]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [01/01/2010 06:13 19712]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [01/01/2010 06:13 8320]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [01/01/2010 06:13 42752]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-22 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-16 12:43]
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.mini20.com
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-22 22:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus CX3600 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"????????????????????????????????????????p?????<~0?9~????*?9~??:~????w?;~????????????????,tY???:~????????????????????T?????????????<~??:~??????:~o?:~?tY???????????:~????????????????????????????s??|?????????tY?????????????w?;~S?:~??:~?v:~????????????????????????8???F<??6???????????4????I:~????????????????P???????????????T????J:~????P????????S????????????????;~????P?????????;~P???????8???????????`??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\MrvGINA.dll
.
- - - - - - - > 'Explorer.exe'(2748)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-06-22 22:25:32
ComboFix-quarantined-files.txt 2011-06-22 20:25
.
Avant-CF: 17 852 088 320 octets libres
Après-CF: 17 850 888 192 octets libres
.
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 70A310CB0E4483980AF910E797E3E3D8
Alors par contre je retrouvais pas le rapport de Combofix, du coup je l'ai relancé et depuis j'ai récupéré mon bureau... Du coup est-ce nécessaire d'exécuter Unhide.exe?
bon ...
on va tout reprendre depuis le début car comme l'autre zonzon ne t'a rien expliqué , bah t'as fait n'importe quoi ...
Combofix lancer avec les antivirus , pas d'installe de la console de récupe ... et en plus cette daube infame de Spybot qui fout sa merde dans le nettoyage du registre ... du grand n'importe quoi ...![:fou:]( ":fou:")
( je parle de mr anti-spam )
tu es donc TOUJOURS INFECTE !!! ... Bureau ou pas , l'infection se relancera et se sera toujour la même ...
Donc on reprends ...
/!\ Pour le bon déroulement de la désinfection :
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
=============================================================
dans l'ordre :
1- Désinstalle proprement Spybot S&D depuis le pannea de config / "ajout et supp de prg "
sert à que dalle à part alourdir le systeme et la navigation ... deplus il va géner fortement la désifection ...
Une fois ceci fait ( ET PAS AVANT !) , encahine ....
===========================
2- on va réutiliser ComboFix exactement ainsi :
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ferme tes applications en cours ( ainsi que ton navigateur ) .
DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
utilisation :
> Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
![]()
*Une fois la console installée,
![]()
Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --
Notes importantes :
-> Ne rien faire avec le PC pendant le scan !
-> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses une fois la procédure terminée.
> Poste le rapport ComboFix pour analyse et attends la suite ...
on va tout reprendre depuis le début car comme l'autre zonzon ne t'a rien expliqué , bah t'as fait n'importe quoi ...
Combofix lancer avec les antivirus , pas d'installe de la console de récupe ... et en plus cette daube infame de Spybot qui fout sa merde dans le nettoyage du registre ... du grand n'importe quoi ...
( je parle de mr anti-spam )tu es donc TOUJOURS INFECTE !!! ... Bureau ou pas , l'infection se relancera et se sera toujour la même ...
Donc on reprends ...
/!\ Pour le bon déroulement de la désinfection :
=============================================================
dans l'ordre :
1- Désinstalle proprement Spybot S&D depuis le pannea de config / "ajout et supp de prg "
sert à que dalle à part alourdir le systeme et la navigation ... deplus il va géner fortement la désifection ...
Une fois ceci fait ( ET PAS AVANT !) , encahine ....
===========================
2- on va réutiliser ComboFix exactement ainsi :
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
utilisation :
> Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
*Une fois la console installée,
Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --
Notes importantes :
-> Ne rien faire avec le PC pendant le scan !
-> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses une fois la procédure terminée.
> Poste le rapport ComboFix pour analyse et attends la suite ...
Salut,
Voilà le rapport:
ComboFix 11-06-22.03 - Benjamin Brabant 23/06/2011 12:55:44.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.668 [GMT 2:00]
Lancé depuis: c:\documents and settings\Benjamin Brabant\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-23 au 2011-06-23 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-16 16:17 . 2011-06-16 16:17 -------- d-----w- c:\program files\CCleaner
2011-06-16 16:16 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-16 16:15 . 2011-04-29 19:07 852480 -c----w- c:\windows\system32\dllcache\vgx.dll
2011-06-15 16:20 . 2011-06-15 16:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-15 16:05 . 2011-06-15 16:20 -------- d-----w- c:\program files\ZHPDiag
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2009-02-16 18:07 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2002-08-29 01:59 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 14:47 . 2006-06-23 12:28 671232 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 14:47 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2011-04-25 14:47 . 2001-08-28 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-04-25 14:42 . 2004-08-19 22:56 371200 ------w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2002-08-29 02:12 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-05-16 11:07 . 2011-05-16 11:07 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2008-09-19 18:28 . 2009-02-16 18:57 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-06-22_20.22.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-06-23 10:32 . 2011-06-23 10:32 16384 c:\windows\Temp\Perflib_Perfdata_6a8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"VyuAmrmEfIELC"="c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-12-09 7311360]
"nwiz"="nwiz.exe" [2005-12-09 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-12-09 86016]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-20 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-19 110592]
NETGEAR WG311v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG311v3\WG311v3.exe [2007-11-21 1507328]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/09/2009 14:26 108289]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06/10/2010 22:36 27632]
S2 gupdate1c9dc4fe8b65d84;Service Google Update (gupdate1c9dc4fe8b65d84);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgmdbus;LG Mobile driver (WDM);c:\windows\system32\DRIVERS\lgmdbus.sys --> c:\windows\system32\DRIVERS\lgmdbus.sys [?]
S3 lgmdmdfl;LG Mobile USB WMC Modem Filter;c:\windows\system32\DRIVERS\lgmdmdfl.sys --> c:\windows\system32\DRIVERS\lgmdmdfl.sys [?]
S3 lgmdmdm;LG Mobile USB WMC Modem Driver;c:\windows\system32\DRIVERS\lgmdmdm.sys --> c:\windows\system32\DRIVERS\lgmdmdm.sys [?]
S3 lgmdmgmt;LG Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\lgmdmgmt.sys --> c:\windows\system32\DRIVERS\lgmdmgmt.sys [?]
S3 lgmdobex;LG Mobile USB WMC OBEX Interface;c:\windows\system32\DRIVERS\lgmdobex.sys --> c:\windows\system32\DRIVERS\lgmdobex.sys [?]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [01/01/2010 06:13 19712]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [01/01/2010 06:13 8320]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [01/01/2010 06:13 42752]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-16 12:43]
.
2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.mini20.com
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-23 13:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus CX3600 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"????????????????????????????????????????p?????<~0?9~????*?9~??:~????w?;~????????????????,tY???:~????????????????????T?????????????<~??:~??????:~o?:~?tY???????????:~????????????????????????????s??|?????????tY?????????????w?;~S?:~??:~?v:~????????????????????????8???F<??6???????????4????I:~????????????????P???????????????T????J:~????P????????S????????????????;~????P?????????;~P???????8???????????`??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\MrvGINA.dll
.
- - - - - - - > 'Explorer.exe'(1944)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-06-23 13:02:19
ComboFix-quarantined-files.txt 2011-06-23 11:02
ComboFix2.txt 2011-06-22 20:25
.
Avant-CF: 17 793 953 792 octets libres
Après-CF: 17 766 191 104 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
.
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 64CFDB3BA22A36A4B4211221D9AD991B
Voilà le rapport:
ComboFix 11-06-22.03 - Benjamin Brabant 23/06/2011 12:55:44.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.668 [GMT 2:00]
Lancé depuis: c:\documents and settings\Benjamin Brabant\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-23 au 2011-06-23 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-16 16:17 . 2011-06-16 16:17 -------- d-----w- c:\program files\CCleaner
2011-06-16 16:16 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-06-16 16:15 . 2011-04-29 19:07 852480 -c----w- c:\windows\system32\dllcache\vgx.dll
2011-06-15 16:20 . 2011-06-15 16:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-15 16:05 . 2011-06-15 16:20 -------- d-----w- c:\program files\ZHPDiag
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2009-02-16 18:07 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2002-08-29 01:59 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 14:47 . 2006-06-23 12:28 671232 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 14:47 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2011-04-25 14:47 . 2001-08-28 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-04-25 14:42 . 2004-08-19 22:56 371200 ------w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2002-08-29 02:12 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-05-16 11:07 . 2011-05-16 11:07 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2008-09-19 18:28 . 2009-02-16 18:57 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-06-22_20.22.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-06-23 10:32 . 2011-06-23 10:32 16384 c:\windows\Temp\Perflib_Perfdata_6a8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"VyuAmrmEfIELC"="c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-12-09 7311360]
"nwiz"="nwiz.exe" [2005-12-09 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-12-09 86016]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-20 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-19 110592]
NETGEAR WG311v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG311v3\WG311v3.exe [2007-11-21 1507328]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/09/2009 14:26 108289]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06/10/2010 22:36 27632]
S2 gupdate1c9dc4fe8b65d84;Service Google Update (gupdate1c9dc4fe8b65d84);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [24/05/2009 11:13 133104]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgmdbus;LG Mobile driver (WDM);c:\windows\system32\DRIVERS\lgmdbus.sys --> c:\windows\system32\DRIVERS\lgmdbus.sys [?]
S3 lgmdmdfl;LG Mobile USB WMC Modem Filter;c:\windows\system32\DRIVERS\lgmdmdfl.sys --> c:\windows\system32\DRIVERS\lgmdmdfl.sys [?]
S3 lgmdmdm;LG Mobile USB WMC Modem Driver;c:\windows\system32\DRIVERS\lgmdmdm.sys --> c:\windows\system32\DRIVERS\lgmdmdm.sys [?]
S3 lgmdmgmt;LG Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\lgmdmgmt.sys --> c:\windows\system32\DRIVERS\lgmdmgmt.sys [?]
S3 lgmdobex;LG Mobile USB WMC OBEX Interface;c:\windows\system32\DRIVERS\lgmdobex.sys --> c:\windows\system32\DRIVERS\lgmdobex.sys [?]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [01/01/2010 06:13 19712]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [01/01/2010 06:13 8320]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [01/01/2010 06:13 42752]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-16 12:43]
.
2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-24 09:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.mini20.com
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-23 13:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus CX3600 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"????????????????????????????????????????p?????<~0?9~????*?9~??:~????w?;~????????????????,tY???:~????????????????????T?????????????<~??:~??????:~o?:~?tY???????????:~????????????????????????????s??|?????????tY?????????????w?;~S?:~??:~?v:~????????????????????????8???F<??6???????????4????I:~????????????????P???????????????T????J:~????P????????S????????????????;~????P?????????;~P???????8???????????`??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\MrvGINA.dll
.
- - - - - - - > 'Explorer.exe'(1944)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-06-23 13:02:19
ComboFix-quarantined-files.txt 2011-06-23 11:02
ComboFix2.txt 2011-06-22 20:25
.
Avant-CF: 17 793 953 792 octets libres
Après-CF: 17 766 191 104 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
.
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 64CFDB3BA22A36A4B4211221D9AD991B
hello,
on continue ... dans l'ordre :
1- Créer un doc texte sur ton bureau :
Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
![]()
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
======================================
3- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).
A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .
Une fois ZHPDiag ouvert, clique sur le bouton "option" ![]()
en haut sur la droite :
Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .
Clique sur le bouton "calendrier" ![]()
qui est en haut à droite : choisis 15 days
Puis clique sur le bouton de "la loupe" ![]()
( en haut à gauche ) pour lancer le scan .
> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.
Ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
on continue ... dans l'ordre :
1- Créer un doc texte sur ton bureau :
KillAll::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VyuAmrmEfIELC"=-
File::
c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VyuAmrmEfIELC"=-
File::
c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
======================================
3- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
en haut sur la droite :Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .
qui est en haut à droite : choisis 15 days ( en haut à gauche ) pour lancer le scan .> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
Ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Alors: je suis arrivé jusqu'à l'étape 2: j'ai lancé combofix: lePC a redémarré 2 fois (à la deuxième, j'avais une fenêtre "Windows a récupéré d'une erreur sérieuse...") Je n'ai pas vu ce qu'il s'est réellement passé, je ne suis pas en permanence devant l'écran. Par contre, je ne trouve pas de rapport combofix, ni à la racine du disque, ni sur le bureau. Je n'ai trouvé qu'un combofix.txt dans le répertoire Combofix créé à l'heure où j'ai fait le scan:
ComboFix 11-06-22.03 - Benjamin Brabant 23/06/2011 22:47:50.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.648 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Benjamin Brabant\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Benjamin Brabant\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
FILE ::
"c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe"
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-23 au 2011-06-23 ))))))))))))))))))))))))))))))))))))
Il n'y a que ça!!
Du coup je n'ai pas été plus loin dans la procédure.
ComboFix 11-06-22.03 - Benjamin Brabant 23/06/2011 22:47:50.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.648 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Benjamin Brabant\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Benjamin Brabant\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
FILE ::
"c:\documents and settings\All Users\Application Data\VyuAmrmEfIELC.exe"
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-23 au 2011-06-23 ))))))))))))))))))))))))))))))))))))
Il n'y a que ça!!
Du coup je n'ai pas été plus loin dans la procédure.
hello,
bah Combo semble avoir fait le job ... seule l'élaboration du rapport a foiré ...
Comment se comporte l'ordi depuis ? ... du mieux ?
Puis fait ceci :
1- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
> Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton![]()
( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [GO] pour lancer le nettoyage .
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
==============================
2- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )
* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance 'Malwarebytes' .
Fais un examen dit " RAPIDE " .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".
Poste le rapport généré après la suppression des objets infectés pour analyse ...
Note importante :
si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !
==============================
3- Télécharge et installe la dernière version deCCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
- choisis bien "français" en langue .
- dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
- dans la deuxieme fenêtre : refuser l'installation de GoogleChrome en décochant les deux cases.
Un tuto ( aide ):
http://www.commentcamarche.net/faq/27688-tutoriel-cclea...
---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
==============================
4- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 066 )
* Au niveau du bouton "calendrier" choisis > 15 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
bah Combo semble avoir fait le job ... seule l'élaboration du rapport a foiré ...
Comment se comporte l'ordi depuis ? ... du mieux ?
Puis fait ceci :
1- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O43 - CFD: 23/06/2011 - 12:31:40 - [3428696] ----D- C:\Program Files\Spybot - Search & Destroy
C:\Documents And Settings\All Users\Application Data\Spybot - Search & Destroy
[HKLM\Software\Safer Networking Limited]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
EmptyTemp
O43 - CFD: 23/06/2011 - 12:31:40 - [3428696] ----D- C:\Program Files\Spybot - Search & Destroy
C:\Documents And Settings\All Users\Application Data\Spybot - Search & Destroy
[HKLM\Software\Safer Networking Limited]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
EmptyTemp
> Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton
( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [GO] pour lancer le nettoyage .
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
==============================
2- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )
* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance 'Malwarebytes' .
Fais un examen dit " RAPIDE " .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".
Poste le rapport généré après la suppression des objets infectés pour analyse ...
Note importante :
si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !
==============================
3- Télécharge et installe la dernière version deCCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
- choisis bien "français" en langue .
- dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
- dans la deuxieme fenêtre : refuser l'installation de GoogleChrome en décochant les deux cases.
Un tuto ( aide ):
http://www.commentcamarche.net/faq/27688-tutoriel-cclea...
---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
==============================
4- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 066 )
* Au niveau du bouton "calendrier" choisis > 15 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Voilà le rapport Zhpdiag:
Rapport de ZHPFix 1.12.3312 par Nicolas Coolman, Update du 15/06/2011
Fichier d'export Registre :
Run by Benjamin Brabant at 04/07/2011 21:03:44
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Safer Networking Limited
SUPPRIME Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME Key: HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
========== Valeur(s) du Registre ==========
ABSENT RunValue: KernelFaultCheck
========== Dossier(s) ==========
SUPPRIME Reboot C:\Program Files\Spybot - Search & Destroy
SUPPRIME c:\documents and settings\all users\application data\spybot - search & destroy
SUPPRIME Temporaires Windows: : 96
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 266
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Dossier(s)
1 : Fichier(s)
========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt
End of the scan
Rapport de ZHPFix 1.12.3312 par Nicolas Coolman, Update du 15/06/2011
Fichier d'export Registre :
Run by Benjamin Brabant at 04/07/2011 21:03:44
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Safer Networking Limited
SUPPRIME Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME Key: HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
========== Valeur(s) du Registre ==========
ABSENT RunValue: KernelFaultCheck
========== Dossier(s) ==========
SUPPRIME Reboot C:\Program Files\Spybot - Search & Destroy
SUPPRIME c:\documents and settings\all users\application data\spybot - search & destroy
SUPPRIME Temporaires Windows: : 96
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 266
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Dossier(s)
1 : Fichier(s)
========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt
End of the scan
Le rapport Malwarebytes:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Version de la base de données: 7021
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
04/07/2011 21:34:39
mbam-log-2011-07-04 (21-34-39).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 147605
Temps écoulé: 6 minute(s), 58 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Version de la base de données: 7021
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
04/07/2011 21:34:39
mbam-log-2011-07-04 (21-34-39).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 147605
Temps écoulé: 6 minute(s), 58 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumVirus windows xp restore
- ForumSupprimer windows xp recovery
- ForumWindows xp recovery
- ForumVirus windows xp security
- ForumAnti virus pour windows xp
- ForumVirus windows xp ne démarre plus
- ForumAnti virus windows xp
- ForumRestauration windows xp sans recovery system
- ForumAnti virus sous windows xp
- ForumVirus windows xp
- Voir plus
