> Tous les forums > Forum Sécurité
 menace avast systeme32 svchost, ordi qui démare +
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
mafalda37
  Posté le 30/04/2011 @ 10:09 
Aller en bas de la page 
Petite astucienne

Bonjour à tous


J'ai un sérieux soucis, depuis 2 jours j'avais des alertes incessantes sur avast et mon systeme 32 svchost .. j'ai passé ad aware, fait des scan avast, et spybot, et rien
je suis embetée, mon ordi à du mal a redémarré quand je l'allume, il bloque sur écran noir ou alors se bloque sur bienvenue.
pourriez vous me donnez un coup de pouce..

svp, sachant que je touche un peu à l'informatique mais suis pas une pro non plus. J'ai lu les sujet et essaye de telecharger tddskiller... qui ne se telecharge pas à plus de 80 %
je suis un peu paumée svp .... j'ose pas eteindre l'ordi pour le coup.

j'ai fait un SCAN OTL en farfouillant, un peu sur les forums :(

quelqu'un peut me dire ce qui cloche svp

http://www.cijoint.fr/cjlink.php?file=cj201104/cijWYOILhV.txt

ou quoi faire... :(

Publicité
pear
 Posté le 30/04/2011 à 10:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Vous êtes infecté par le nouveau Tdl4: une des pires infections.

Sauvegardez vos données sur support externe car, si les procédures proposées échouaient, il faudrait formater.

Aucun outil de désinfection lancé depuis Windows ne fonctionne de manière satisfaisante: TDSSKiller ne parvient pas à s’initialiser - bloqué à 80%.


Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)
Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Télécharger OTLPEStd.exe

Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Si tout va bien, la machine démarrera sur l'environnement OTLPE
Lors du démarrage de OTLPE.exe il sera demandé à l'utilisateur s'il veut charger le Registre distant et il doit choisir Yes/Oui.
Ensuite, il lui sera demandé s'il veut charger les profils utilisateur distants, et il devra de nouveau choisir Yes/Oui.
Enfin, une liste des profils distants trouvés sera affichée, avec l'option par défaut de les charger tous, et l'utilisateur devra une fois encore choisir Yes/Oui.
S'il ne respecte pas cette procédure, il ne verra pas les comptes d'utilisateur distants.

Double-click sur l'icone OTLPE
A la demande "Do you wish to load the remote registry"->choisir Yes
et "Do you wish to load remote user profile(s) for scanning"->choisir Yes
vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

L' écran d'OTLPE s'affiche:
image
Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

netsvcs
hklm\software\clients\startmenuinternet|command /rs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
SAVEMBR:0
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT


Clic sur Analyse (Run Scan)
le scan terminé , le fichier se trouve là C:\OTL.txt
Comment poster les rapports

Cliquer sur image Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver le rapport sur votre bureau

Copier sur clé USB le fichier obtenu par OTL: c:\Physical0MBR.bin; Il est pollué mais "fonctionnel" car il permet quand même de booter la machine.

- avec MBRbackup.,depuis l'environnement Windows contaminé,on va Sauvegarder le MBR sain que TDL4 nous présente afin de nous leurrer
MbrBackup
Au lancement,vous obtenez ceci:
image

Vous devez alors sauvegarder le Mbr(Save Mbr)
Vous aurez un fichier à enregstrer sur Clé Usb contenant cette sauvegarde de type Mbr_date.bin ,et Physical0MBR.bin ;
Copier le fichier MBR_date.bin qui est sur la clé directement dans C:\

ensuite:
Clic droit sur un espace vide du bureau->Nouveau->Document texte
Copier/coller:
MbrFix /drive 0 restorembr c:\MBR_date.bin
Enregistrer sous C:\ avec le Nom MbrFix.txt

- Restitution de ce MBR sain sous environnement ReaTogo/OTLPE avec MBRFix qui fait parti de la panoplie.
Lancer Otlpe
Ouvrir le fichier MbrFix.txt
Ctrrl a, Ctrl c

- Double clic sur l'icone MBRFix qui se trouve sur le bureau (écran noir avec C:\).
- clic droit sur le bandeau superieur de la fenêtre de commande qui s'ouvre puis clic sur edit puis paste
Double clic sur l'icone MBRFix qui se trouve sur le bureau (écran noir avec C:\).
- clic droit sur le bandeau superieur de la fenêtre de commande qui s'ouvre puis clic sur edit puis paste
image

Cet écran apparait
image

Valider par Entrée
image
à la question "you are about to restore MBR, are you sure ?
répondre "y"

Redémarrer normallement avec la machine infectée, en retirant le CD OTLPE.

Relancez Tdsskiller.

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs
et sauvegardez le sur le bureau


La console de Récupération
Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.
Certaines infections comme braviax empêcheront son installation.
La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).
Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage
C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,
D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée
C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista,Seven peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE)
Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.
Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:
cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe
image

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Après installation,vous devriez voir ce message:
The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:


Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.


Vous avez téléchargé Combofix.
Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt



mafalda37
 Posté le 30/04/2011 à 10:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

merci de votre réponse, mon scan malwarebytes vient de se terminer, j'ai le rapport

par contre je n'ai pas d'autres machine pour graver :(

vous m'inquietez avec cette infection :(

le rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6476

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/04/2011 10:48:27
mbam-log-2011-04-30 (10-48-27).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 297754
Temps écoulé: 43 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Value: DisableRegedit -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUsr (Adware.Gibmedia) -> Value: WinUsr -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\APPS\inventime\files\media\finalparticulier.exe (Trojan.Meredrop) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\stera.job (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

pear
 Posté le 30/04/2011 à 11:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

je n'ai pas d'autres machine pour graver

C'est un point de passage obligé pour cette procédure.

Vous pouvez tenter Combofix.

On peut fixer le mbr en console de récupération, mais sur les machines de constructeurs(Hp, Packard Bell etc..) il est tatoué.

En conséquence, sur ces machines, le recovery sortie d'usine n'est plus possible.

Si par contre vous disposez d'un cd bootable de Windows Xp, vous êtes sauvé.

A vous lire..



Modifié par pear le 30/04/2011 11:13
mafalda37
 Posté le 30/04/2011 à 11:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

et la j'ai l'impression que les 8 fichiers detecté par malwarebytes ont été nettoyés...

j'ai pas de soucis de redemarages ni de soucis alertes de avast... vous en pensez quoi?

pear
 Posté le 30/04/2011 à 11:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Nos messages se sont croisés.

Relancez Tdsskiller.

S'il va au bout, c'est bon signe.

Lancez Combofix.

mafalda37
 Posté le 30/04/2011 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

je dois avoir les cd oui de windows xp... je vais sauvegarder tous mes precieux document sur disque dur externe sinon et remettre à zéro?

mafalda37
 Posté le 30/04/2011 à 11:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

non il ne va pas au bout tddskiller je vais lancer combofix :( , je dois desactivé adaware et avast? et malwaretytes alors?

pear
 Posté le 30/04/2011 à 12:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Ad-aware ne sert plus à grand chose.

Vous devriez désinstaller et désactiver Avast pour lancer Combofix.

Gardez Mbam.,

Cela dit, je crois qu'on revient au début.

Pour pouvoir éviter la procédure proposée plus haut, dites moi si votre pc est une machine de constructeur ou montée et si vous avez le cd Xp.

mafalda37
 Posté le 30/04/2011 à 12:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

c'est une machine achetée en grande surface mais on a creer un montage car j'ai du changé la carte mere par un ami, et du coup j'ai gardé tout de microsoft, j'ai en effet les cd ;)

combofix est bloqué depuis 30min a 35,9% en ecran bleu :/ normal?

mafalda37
 Posté le 30/04/2011 à 12:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

jai windows xp pack 2 comme cd mais pas de la machine que j'avais de mon ancien portable :/, cette machine j'ai pas eu de cd avec je l'ai acheté a un amie qui l'avait acheté a carrouf :d



Modifié par mafalda37 le 30/04/2011 12:20
pear
 Posté le 30/04/2011 à 12:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

combofix est bloqué depuis 30min a 35,9% en ecran bleu :/ normal?

Oui, c'est l'infection, comme pour Tdsskiller.

Il ne vous a pas installé la console de récupération ?

Losqu'elle est installée sur votre machine , elle apparait dans votre boot.ini.

Pour le lire:
Poste de travail->Outils ->Options des dossiers ->Affichage
Cocher "Afficher les dossiers cachés"
Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"
--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.
Aller à la racine de la partion système (généralement C:)

Il ressemble à ceci:

[boot loader]
timeout=5
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Console de récupération Microsoft Windows XP" /cmdcons

Lorsque vous démarrez, vous avez quelques secondes(indiquées par Time out qui est modifiable) pour choisir de démarrer sur Windows ou la console de récupération.

mafalda37
 Posté le 30/04/2011 à 13:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

ca a marché combofix ;) je met le rapport par contre la machine ne redemarrait pas seule, il a fallu que je selectionne derniere bonne config connue...

ComboFix 11-04-29.03 - wrolecki 30/04/2011 12:28:51.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1097 [GMT 2:00]
Lancé depuis: d:\documents and settings\wrolecki\Mes documents\Téléchargements\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: Norton Internet Security *Enabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\OfferBox
c:\program files\OfferBox\OfferBox.exe
c:\program files\OfferBox\OfferBoxBHO.dll
c:\program files\OfferBox\OfferBoxChromeExtension.crx
c:\program files\OfferBox\OfferBoxEngine.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome.manifest
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\events.js
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\overlay.xul
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt
c:\program files\OfferBox\offerboxffx@offerbox.com\install.rdf
c:\program files\OfferBox\OfferBoxLauncher.exe
c:\program files\OfferBox\res\language.xml
c:\program files\OfferBox\res\loader.gif
c:\program files\OfferBox\uninst.exe
C:\Thumbs.db
c:\windows\system32\rnaph.dll
c:\windows\system32\stera.log
c:\windows\system32\Thumbs.db
c:\windows\system32\winlogon.bak
c:\windows\system32\yjufkuny.dat
c:\windows\system32\yjufkuny_nav.dat
d:\documents and settings\wrolecki\Application Data\OfferBox
d:\documents and settings\wrolecki\Application Data\OfferBox\config.dat
d:\documents and settings\wrolecki\Application Data\OfferBox\config.xml
D:\install.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_FOPN
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-28 au 2011-04-30 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-30 08:09 . 2011-04-30 08:09 -------- d-----r- d:\documents and settings\NetworkService\Favoris
2011-04-30 08:01 . 2011-04-30 08:01 -------- d-----w- d:\documents and settings\wrolecki\Application Data\Malwarebytes
2011-04-30 08:01 . 2011-04-30 08:01 -------- d-----w- d:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-30 08:01 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-30 08:01 . 2011-04-30 08:01 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-30 08:01 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-29 13:26 . 2011-04-29 13:26 -------- dc----w- c:\program files\CCleaner
2011-04-28 12:40 . 2011-04-28 12:41 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-30 10:47 . 2009-11-20 09:37 16608 ----a-w- c:\windows\gdrv.sys
2011-04-24 10:14 . 2009-10-15 11:03 16432 -c--a-w- c:\windows\system32\lsdelete.exe
2011-04-18 17:25 . 2010-07-13 06:27 40112 ----a-w- c:\windows\avastSS.scr
2011-04-18 17:25 . 2007-12-27 16:27 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-04-18 17:17 . 2011-03-22 10:33 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-04-18 17:17 . 2008-06-20 14:00 307288 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-04-18 17:16 . 2007-12-27 16:27 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-04-18 17:16 . 2007-12-27 16:27 102488 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-04-18 17:16 . 2007-12-27 16:27 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-04-18 17:13 . 2007-12-27 16:27 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-04-18 17:13 . 2007-12-27 16:27 30680 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-04-18 17:12 . 2008-06-20 14:00 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-03-07 05:33 . 2004-08-16 17:06 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-05 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-05 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-08-05 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:42 . 2004-08-05 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-08-05 12:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-05 12:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-08-05 12:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:54 . 2004-08-05 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2004-08-05 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:34 . 2004-08-05 12:00 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:34 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 07:59 . 2004-08-16 17:03 2067456 ----a-w- c:\windows\system32\mstscax.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 -csh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 -csh--r- c:\windows\system32\nbDX.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346de098-61f9-4b42-89da-6dfba7091bb6}]
2009-12-31 10:53 2349080 -c--a-w- c:\program files\IMBooster4web-en\tbIMBo.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTor.dll" [2010-12-09 3911776]
.
[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-04-18 17:25 122512 -c--a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 68856]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-01-19 98304]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-19 180269]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"nwiz"="nwiz.exe" [2005-08-02 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-08-02 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-17 17508864]
"AVFX Engine"="c:\program files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-06-09 24576]
"V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-06-28 32768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
d:\documents and settings\wrolecki\Menu D‚marrer\Programmes\D‚marrage\
Lanceur.lnk - c:\program files\Micro Application\LauncherMA.exe [2009-2-10 485376]
.
d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
NETGEAR WG111v2 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v2\WG111v2.exe [2006-5-17 2297856]
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter\WLANUTL.exe [2009-4-22 835584]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideClock"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera\0lsdelete
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SmpcSys"=c:\apps\SMP\SmpSys.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ACTIVBOARD"=c:\apps\ABoard\ABoard.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"nwiz"=nwiz.exe /install
"PCMService"="c:\apps\Powercinema\PCMService.exe"
"SoundMan"=SOUNDMAN.EXE
"Ulead AutoDetector v2"=c:\program files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
"Vade Retro Outlook Express"="c:\progra~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
"BigDogPath"=c:\windows\VM_STI.EXE VIMICRO USB PC Camera
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"UserFaultCheck"=%systemroot%\system32\dumprep 0 -u
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\SightSpeed\\SightSpeed.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:emule
"4672:UDP"= 4672:UDP:emule
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [15/10/2009 12:14 64288]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/12/2007 11:09 685816]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [22/03/2011 12:33 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [20/06/2008 16:00 307288]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [20/06/2008 16:00 19544]
R2 ES lite Service;ES lite Service for program management.;c:\program files\Gigabyte\EasySaver\essvr.exe [20/11/2009 00:15 68136]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [06/07/2010 19:28 2146496]
R3 V0220Dev;Live! Cam Video IM;c:\windows\system32\drivers\V0220Dev.sys [12/03/2010 15:14 146112]
R3 V0220Vfx;V0220VFX;c:\windows\system32\drivers\V0220Vfx.sys [12/03/2010 15:14 6272]
S2 AMService;AMService;c:\windows\TEMP\ohhc\setup.exe run --> c:\windows\TEMP\ohhc\setup.exe run [?]
S2 gupdate;Service Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [19/01/2006 17:24 799744]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [20/11/2009 00:16 1684736]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [30/08/2009 10:43 36608]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [15/08/2010 13:43 15232]
S3 optousb;OPTO ELECTRONICS optousb;c:\windows\system32\drivers\optousb.sys [04/02/2011 13:41 18560]
S3 optovcm;OPTO ELECTRONICS optovcm;c:\windows\system32\drivers\optovcm.sys [04/02/2011 13:41 25344]
S3 PMUSB2G;PassMark® Software USB 2.0 Loopback plug;c:\windows\system32\drivers\PMUSB.sys [28/04/2007 11:12 18944]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [27/03/2006 17:53 167808]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [30/08/2009 10:43 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [30/08/2009 10:43 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [30/08/2009 10:43 121856]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-30 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-07-06 15:37]
.
2011-04-30 c:\windows\Tasks\Extension de garantie.job
- c:\apps\SMP\PBCARNOT.EXE [2005-11-09 12:55]
.
2011-04-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-06-12 14:10]
.
2007-02-23 c:\windows\Tasks\HDReg.job
- c:\apps\HDReg\HDRegRem.exe [2006-01-19 09:14]
.
2011-04-30 c:\windows\Tasks\Master CD_DVD Creator.job
- c:\apps\SMP\MCDCHECK.EXE [2005-11-08 14:26]
.
2011-04-30 c:\windows\Tasks\User_Feed_Synchronization-{94EB62F1-E247-4CC1-A53A-A813B0C45BF5}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.iminent.com/?appId=67da2289-799a-448e-9ab8-927805a9a699&lcid=1036&ref=homepage
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
mStart Page = hxxp://fr.yahoo.com
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: { - c:\program files\Messenger\msmsgs.exe
Trusted Zone: consoclicker.com\www
TCP: {504845C2-6C8A-4B26-A768-B83981F9E832} = 192.168.1.1
TCP: {A9C39328-442C-4FCC-A395-FC07C5C0EC81} = 192.168.1.1
TCP: {B6F5A19E-42F0-409B-88CB-40E8629303AA} = 192.168.1.1
TCP: {EC420701-32E2-40B3-942C-1716807BD0E1} = 192.168.1.1
DPF: {3A226D85-574D-4272-B73C-DBCAECF709B3} - hxxp://www.consoclicker.com/TNSClickrb.CAB
FF - ProfilePath - d:\documents and settings\wrolecki\Application Data\Mozilla\Firefox\Profiles\5kwadrfm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2851639&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: iGraal: {e411bb40-b04c-11d8-92e7-00d09e0179f2} - %profile%\extensions\{e411bb40-b04c-11d8-92e7-00d09e0179f2}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
HKLM-Run-Iminent.Notifier - c:\program files\Iminent\SearchTheWeb\Iminent.Notifier.exe
HKLM-Run-NPSStartup - (no file)
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
AddRemove-OfferBox - c:\program files\OfferBox\uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-30 12:50
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
C:\## aswSnx private storage
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3250823AS rev.3.03 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8A86D57B
user & kernel MBR OK
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MysqlInventime]
"ImagePath"="c:\apps\INVENT~1\mysql\bin\mysqld-nt --defaults-file=c:\apps\Inventime\mysql\my.ini MysqlInventime"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3968)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PSIService.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
c:\windows\RTHDCPL.EXE
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Heure de fin: 2011-04-30 12:56:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-04-30 10:56
.
Avant-CF: 14 228 807 680 octets libres
Après-CF: 14 176 202 752 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
.
Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - BEA710480680B8B07438595838CE887B

mafalda37
 Posté le 30/04/2011 à 13:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

par contre il me parle de norton , je ne l'ai pas sur la machine {#}

mafalda37
 Posté le 30/04/2011 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

help il est toujours la pffff j'en ai marre je vais le balancer par la fenetre, moio qui est jamais eu de virus :( pfff pas de bol. et malwarebytes n'a pas l'air davoir résolu et que puis je faire avec le cd paxk 2 de windows microsoft????

pear
 Posté le 30/04/2011 à 13:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Désinstallez Ad-Aware et Spybot obsolètes et remplacés avantageusement par Mbam (remis à jour)


Il faut savoir que Spybot utilise une technologie dépassée.
Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.



Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Vaccination Spybot
Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"
cliquez sur "Vaccination" dans la colonne sur la gauche :
Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.






Combo, Nettoyage
Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Dans certaines circonstances , le Mode sans échec peut être nécessaire
Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

# Dans le bloc-note ,copiez-collez ces lignes :
KillAll::
File::
c:\documents and settings\Administrateur\Local Settings\Application Data\Conduit
c:\program files\IMBooster4web-en\tbIMBo.dll
c:\windows\Tasks\Google Software Updater.job
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
c:\program files\uTorrentBar_FR\tbuTor.dll
Firefox::
FF - ProfilePath - d:\documents and settings\wrolecki\Application Data\Mozilla\Firefox\Profiles\5kwadrfm.default\
FF -: prefs.js: browser.search.defaulturl -
FF -: prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage -
FF -: prefs.js: keyword.URL -
Registry::
[-HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346de098-61f9-4b42-89da-6dfba7091bb6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"=-

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
Enregistrez-le en lui donnant le nom CFScript.txt
Ouvrez Combofix
* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
image

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.
* Patienter le temps du scan.
Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin
Poster son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt


Téléchargez AD-Remover sur le bureau
image

Déconnectez-vous et fermez toutes les applications en cours
Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover sur le bureau
image
Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.



Relancez Tdsskiller


Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
image
Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra



Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.



Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Gratuit3 mois d'abonnement à Amazon Music Unlimited gratuits
Valable jusqu'au 29 Octobre

Amazon vous permet d'essayer son service de streaming musical pendant 3 mois gratuitement. Avec Amazon Music Unlimited, accédez à plus de 50 millions de titres, sans publicité et en illimité sur tous vos appareils : smartphone, tablette, PC/Mac, Fire, Alexa. Vous avez même la possibilité de télécharger vos playlists pour des écoutes hors connexion. A la fin de ces 3 mois, vous pourrez basculer vers l'offre payante à 9,99 € / mois ou bien arrêter sans frais le service. A noter l'existence d'une offre famille à 14,99 € / mois qui permet jusqu'à 6 utilisateurs d'écouter leur musique à tout moment et sur leurs appareils préférés. Vous pouvez annuler l'abonnement à tout moment.


> Voir l'offre
299,00 €Ecran 27 pouces HP 27f (IPS, 4K) à 299 €
Valable jusqu'au 29 Octobre

Amazon fait une promotion sur l'écran HP 27f qui passe à 299 € livré gratuitement. On le trouve ailleurs à partir de 399 €. L'écran HP 27f 4K (3840x2160) dispose d'une dalle anti-reflets sans bordure à LED IPS de 27 pouces et d'une connectique 2xHDMI et DP. 


> Voir l'offre
18,99 €Clé USB Sandisk Ultra 128 Go à double connectique USB 3.1 Type A et C à 18,99 €
Valable jusqu'au 30 Octobre

Amazon fait une promotion sur la clé USB Sandisk Ultra 128 Go à double connectique USB 3.1 Type A et C qui passe à 18,99 €. Cette clé USB  dispose d'un connecteur réversible USB Type C et d'un connecteur classique de type A. Grâce à elle, transférez en toute simplicité et rapidement (jusqu'à 150 Mo/s) vos fichiers entre vos smartphones, tablettes et ordinateurs. On la trouve ailleurs à plus de 40 €.


> Voir l'offre

Sujets relatifs
Alerte AVAST - URL:Mal svchost.exe
Avast et svchost.exe
Menace détectée par avast sur pcastuces
supprimer avast de l'ordi.
Avast une menace a été détectée
avast!antivirus 7 nouvel ordi avec W7
avast:une menace à été détecté:adresse url bloquée
Avast Menace détectée: Rookit
Menace détectée par Avast
SOLUTION AVAST ROOTKIT-GEN (svchost.exe)
Plus de sujets relatifs à menace avast systeme32 svchost, ordi qui démare +
 > Tous les forums > Forum Sécurité