× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 virus "virut" sur un PC sous Windows XP SP2
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Jack-2010
  Posté le 02/01/2010 @ 22:53 
Aller en bas de la page 
Petit astucien

Bonne santé à toutes et à tous et bonne année 2010.

pour moi et ma douce, ça va : merci ; j'en espère au moins autant pour chacun(e) de vous.

la victime : le PC de mon voisin sous Windows XP SP2 (édition familiale), très long au démarrage (environ une 1/2 heure) : un HD, une partition, soupçonné d'être infecté par "virut".

les armes :
- une feuille de route comme guide ... https://forum.pcastuces.com/infection_virut-f31s49.htm du 17-11-2009,
- un PC de bureau (assemblage), sous Windows XP Pro SP3, un HD, deux partitions, souvent connecté à Internet par USB (FreeBox),
- un PC portable Vaio, sous Windows XP Pro SP2, un HD, deux partitions, de temps en temps connecté à Internet par WiFi (même Box).

NOTA - ces différents PC ne sont pas connectés en réseau.

1°) à partir du PC portable, connecté à Internet par WiFi (FreeBox) ...
- téléchargement de "Dr.Web CureIt! (5.00.2.12219 fr)",
- redémarrage en mode "sans échec" du PC portable (déconnecté d'Internet),
- lancement du scan de "CureIt" par défaut de "C:" : rien à signaler,
- copie de "CureIt" sur une clé USB.

2°) à partir du PC de bureau, déconnecté d'Internet ...
- copie de "CureIt" de la clé USB sur la première partition du HD,
- redémarrage en mode "sans échec" du PC de bureau,
- lancement du scan de "CureIt" par défaut de "C:" : rien à signaler.

3°) à partir du PC de bureau, toujours déconnecté d'Internet ...
- arrêt du PC de bureau : montage en esclave du HD "malade" (du PC du voisin),
- redémarrage en mode normal du PC de bureau,
- lancement de "CureIt" : arrêt du scan par défaut de "C:",
- sélection du mode "Analyse sélective" et lancement du scan sur le HD en esclave "E:" (du PC du voisin) : infection à grande échelle par "Win32.Virut.56" dont voici ci-dessous le "log" de "CureIt" (un second scan sur le HD en esclave "E:" : rien à signaler) ...
- copie de "CureIt" de la première partition du HD "C:" sur le HD en esclave "E:" (du PC du voisin).
=================================================================
voir le post suivant car lorsque j'inclue le "log" de "CureIt" ici, l'envoi de mon post sur le forum, me retourne le message suivant ...

HTTP 500 - Erreur interne du serveur
Internet Explorer

je ne sais pas ce qu'il signifie : je suppose que mon message est trop long ...
=================================================================
4°) à partir du PC du voisin, déconnecté d'Internet ...
- remontage du HD "malade",
- redémarrage en mode "sans échec" du PC du voisin,
- lancement du scan de "CureIt" par défaut de "C:" : rien à signaler.


selon la feuille de route indiquée au début de ce post, je cite :

"Le ver Virut infecte tous les fichiers exécutables qui se trouvent sur la machine .
Il attaque même les fichiers système ; . Il n'arrive jamais seul et permet l'installation d'une porte dérobée en plus d'un rootkit coriace."

La désinfection n'est donc pas terminée. Après avoir vérifié que la Console de récupération est installée ...

Question : puis-je passer à l'étape "ComboFix" ... ?

Je vous remercie par avance de votre aide. Jack-2010.

NOTA - message réédité avec "FireFox (3.5.6 fr)" au lieu d'"Internet Explorer (6.0.2900 fr)" utilisé initialement.



Modifié par Jack-2010 le 03/01/2010 20:07
Publicité
tomtom95
 Posté le 02/01/2010 à 23:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir et bonne année a toi aussi

Pour HTTP 500 oui ton post et trop long

Post-le en plusieurs partie sur le forum avant de faire combofix

Une personne du groupe sécurité pourrais mieux te renseigner pour la suite .

@+

Jack-2010
 Posté le 03/01/2010 à 00:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Je te remercie pour ta réponse. J'ai fini par me rendre compte que mon message était effectivement trop long : c'est la raison pour laquelle je n'ai pas joint le "log" de "CureIt". Je me demande toujours pourquoi les lignes de mes messages se tiennent à la queue leu leu ... J'ai pourtant posté un message dans le "Forum des essais" ... https://forum.pcastuces.com/tout_le_texte_a_la_queue_leu_leu___-f20s4256.htm , mais je n'ai pas encore eu de réponse solutionnant mon probléme que je pense pourtant basique (je me sens bien petit ...) ... Merci à toi. Jack-2010.
tomtom95
 Posté le 03/01/2010 à 00:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

RE

Pour ton probléme de mis en page difficile si tu écrit jusqu'au bout de la page sans par moment faire entrer tu te retrouve avec une écriture compacte et a la suite comme je suis entrain de le faire pour éviter ceci écris des pharses moin long ou en haut de ta barre d'outils de pca clique sur aligné a gauche .

Cela n'empêche pas que tu peux poster ton rapport CureIt et en deux fois pour évité l'erreur 500 HTTP

A tu fait autre chose comme rapport pour ton probléme (celui de ton voisin ) comme un rapport RSIT ???

A tu passer Malwarbytes ou autres, si tu as un virut infection plus que difficile a supprimer qui souvent a comme option le formatage du pc .

A te lire @+



Modifié par tomtom95 le 03/01/2010 00:40
Jack-2010
 Posté le 03/01/2010 à 01:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonsoir "tomtom95", désolé pour les lignes qui sont toujours à la queue leu leu : pas encore de solution mais il y en a forcément une. pour ce qui est du problème de virus de mon voisin, j'ai voulu m'en tenir qu'à la feuille de route de ce lien ... https://forum.pcastuces.com/infection_virut-f31s49.htm ; pour ce qui de RSIT, je ne connaissais pas cet utilitaire mais je viens de lancer une recherche Google ; je vais approfondir cela demain ou plutôt aujourd'hui, dès que possible (après repos mérité) ; je n'ai pas non plus exécuter Malwarbytes (toujours la feuille de route citée plus haut). désolé, le "log" de "CureIt" dépasse toujours la taille maximale d'un post : mais quelle est donc la taille maximale d'un post ... ? Bonne nuit à Toi et encore Merci. Jack-2010.

Modifié par Jack-2010 le 03/01/2010 01:32
did71
 Posté le 03/01/2010 à 01:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir Jack, tomtom,

jack, si tu peux poster le log RSIT sur le forum!

Sinon ici:

http://www.cijoint.fr/

a+

tomtom95
 Posté le 03/01/2010 à 02:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

salut did71

Jack pour RSIT suis cette procédure et si ne peut pas le post ton rapport CureIt utilise http://www.cijoint.fr/ comme le dit did71

Télécharge Random's System Information Tool (RSIT) (de random/random) et sauvegarde-le sur le Bureau.


  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • A l'écran Disclaimer

  • A l'option : List files/folders created or modified in the last Choisit 3 months
  • Puis Clique sur Continue
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur
    RSIT le téléchargera (autorise l'accès dans ton pare-feu
    si demandé
    ) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée
    deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)
    ainsi que de info.txt (qui sera réduit dans la Barre des Tâches)
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  • Veille bien à me poster l'intégralité des rapports
    vérifie qu'ils soient complets une fois que tu les as postés.

Et pour Mbam

Télécharge MalwareByte's Anti-Malware sur ton Bureau.


  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait
    sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche
    clic sur"Rechercher".
  • Une fois le scan terminé
    une fenêtre s'ouvre
    clic sur OK. Deux possibilités s'offrent à toi :
  • Si le programme n'a rien trouvé
    appuie sur OK. Un rapport va apparaître
    ferme-le.
  • Si des infections sont présentes
    clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression
    accepte en cliquant sur Ok.


    Relancez Mbam
    supprimez tout ce qu'il trouve
    :

    *Sélectionnez tout et cliquez sur Supprimer la sélection

    MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
    * Copiez-collez ce rapport dans la prochaine réponse.

    Voilà @+

Jack-2010
 Posté le 04/01/2010 à 23:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir à vous,

vous trouverez ci-après le lien permettant de récupérer le rapport de "Dr.Web CureIt! (5.0.2.12249 fr)" que je n'ai pas pu inclure dans mon premier post à cause du message "HTTP 500 - Erreur interne du serveur - Internet Explorer" (message trop long ai-je appris plus tard) ...
http://www.cijoint.fr/cjlink.php?file=cj201001/cijwpOFRF0.txt

vous trouverez ci-après les actions que j'ai menées selon les conseils du post de "tomtom95" du 03-01-2010 à 02:30 ...

1°) à partir du PC de bureau, connecté à Internet par USB (FreeBox) ...
- arrêt du PC de bureau : montage en esclave du HD "malade" (du PC du voisin),
- redémarrage en mode "normal" du PC de bureau,
- téléchargement de la dernière version de "HijackThis (2.0.2 uk)" sur le site de "Trend Micro" à l'adresse http://free.antivirus.com/hijackthis/ ,
- téléchargement de RSIT à l'adresse http://images.malwareremoval.com/random/RSIT.exe ,
- téléchargement de la dernière version de "Malwarebytes Anti-Malware (1.43 fr)" sur le site de "Malwarebytes" à l'adresse http://www.malwarebytes.org/mbam.php ,
- copie de ces trois utilitaires sur le HD "malade" (du PC du voisin),
- arrêt du PC de bureau.

2°) à partir du PC du voisin, déconnecté d'Internet ...
- remontage du HD "malade",
- redémarrage en mode "sans échec" du PC du voisin,
- copie de "HijackThis (2.0.2 uk)" dans "Program Files" (pas besoin d'installation) : OK,
- copie de "RSIT (3.2.12.1 fr)" dans "Program Files" (pas besoin d'installation) : OK,
- installation de "Malwarebytes Anti-Malware (1.43 fr)" : problème ---> au niveau de la finalisation de l'installation : s'affiche la fenêtre "vbAccelerator SGrid II Control" : Run-Time error '0' > bouton OK, puis s'affiche la fenêtre "Malwarebytes' Anti-Malware : Run-Time error '440': Automation error > bouton OK", puis à nouveau ces deux mêmes messages avec les mêmes codes d'erreur,
- exécution de RSIT : OK,
- exécution de "Malwarebytes Anti-Malware (1.43 fr)" : problème ---> s'affiche la fenêtre "vbAccelerator SGrid II Control" : Run-Time error '0' > bouton OK, puis s'affiche la fenêtre "Malwarebytes' Anti-Malware : Run-Time error '440': Automation error > bouton OK" (les mêmes erreurs que lors de la fin de l'installation).

Les fichiers "info et log" générés par "RSIT (3.2.12.1 fr)" peuvent être récupérés à partir des liens suivants ...
http://www.cijoint.fr/cjlink.php?file=cj201001/cijtztL1xy.txt
http://www.cijoint.fr/cjlink.php?file=cj201001/cijq6lDAK3.txt

Bien que ces fichiers "info et log" soient nouveaux pour moi (puisque je ne connaissais pas l'utilitaire RSIT), le message "HijackThis download failed" au début du fichier "log", me laisse penser que je n'aurais pas du installer "HijackThis (2.0.2 uk)" comme je l'ai fait MAIS que j'aurais du laisser RSIT télécharger "HijackThis", en connectant le PC de mon voisin à Internet et en le rédémarrant en mode "normal" (enfin je crois).

Quand à l'échec de l'installation de "Malwarebytes Anti-Malware (1.43 fr)" et de son exécution, je ne suis qu'à demi surpris ; je me suis rendu compte que l'exécutable "userinit.exe" avait disparu lorsque j'ai voulu ouvrir une session en mode "sans échec" à partir du PC de mon voisin vers la fin d'année (je ne me souviens plus très bien de la date). J'ai également constaté la disparition de l'exécutable "rundll32.exe" lorsque j'ai voulu créé hier un raccouci sur le bureau pour lancer l'exécution de RSIT. Je pense qu'il est fort probable qu'il y ait d'autres exécutables qui ont disparus ...

Après les anomalies se rapportant au paragraphe précédent, je me suis demandé si le PC de mon voisin n'avait pas été de nouveau infecté : aussi ai-je réexécuté "Dr.Web CureIt! (5.0.2.12249 fr) mais tout semble OK ; j'ai quand même sauvegardé le fichier "CureIt.log" (si besoin était).

Conclusion : je suppose que je vais avoir à recommencer l'exécution de RSIT sur le PC de mon voisin, en mode "normal" et connecté à Internet.
Quant au problème lié à "Malwarebytes Anti-Malware", c'est à la console de récupération de Windows qu'il va falloir faire appel ... Qu'en pensez-vous ... ?
J'attends vos instructions.

Notez que j'ai reçu de l'aide au sujet de mes messages dont les lignes se suivaient à la queue leu leu.
(pour info : https://forum.pcastuces.com/tout_le_texte_a_la_queue_leu_leu___-f20s4256.htm ). Encore MERCI.

Cordialement. Jack-2010.

tomtom95
 Posté le 05/01/2010 à 00:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

RE

Bien pour commencer tu va remettre msconfig en mode normal

Tape dans exécuter msconfig et coche la case comme sur la capture et applique pour redémarrer le pc

Biensur je n'est pas le rapport complet de RSIT avec HJT

Donc supprime Malwarebyte du pc avec ajout/suppr et utilise cette outil pour supprimer les outils utiliser (rsit)

Télécharge ToolsCleaner2 (de A.Rothstein & Dj Quiou)


  • Installe le sur ton Bureau.
  • Clique sur Recherche pour lancer le scan.
  • Clique sur Supprimer pour nettoyer les outils utilisés.
  • Clique sur Quitter.
  • Supprime maintenant ToolsCleaner.
    Un fichier C:\TCleaner.txt sera créé
    postes-le

    Note : ton bureau va disparaître
    c'est normal.
    S'il n'apparaît pas à la fin du scan
    fais la manip suivante :

    CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"
    Tape explorer.exe et valide. Cela fera réapparaître le bureau
  • ***************************************************************************

Ensuite tu va télécharger ccleaner slim

Télécharge Ccleaner Slim sur ton Bureau.

  • Clique sur "download the latest version"
  • Installe-le en laissant seulement les options suivantes cochées :
    - Ajouter un raccourci sur le Bureau
    - Contrôler automatiquement les mises à jour de CCleaner
  • Lance le Nettoyage
  • Clique sur nettoyeur et analyser et supprimer ce qu'il trouve.(le faire plusieurs fois).
    •Même chose clique sur registre et recherche d'erreurs et sur corriger les erreurs .
    ************************************************************************
  • Aprés télécharge Mbam avecmon lien Télécharge MalwareByte's Anti-Malware sur ton Bureau.

    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :

    • Exécute maintenant MalwareByte's Anti-Malware. sélectionne "Exécuter un examen complet".
      et poste le rapport

*****************************************************************************************

Aprés retélécharge RSIT avec le lien que je te donne il te seras demander d'installer HJT en même temp

Télécharge Random's System Information Tool (RSIT) (de random/random) et sauvegarde-le sur le Bureau.


  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • A l'écran Disclaimer

  • A l'option : List files/folders created or modified in the last Choisit 3 months
  • Puis Clique sur Continue
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur
    RSIT le téléchargera (autorise l'accès dans ton pare-feu
    si demandé
    ) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée
    deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)
    ainsi que de info.txt (qui sera réduit dans la Barre des Tâches)
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  • Veille bien à me poster l'intégralité des rapports
    vérifie qu'ils soient complets une fois que tu les as postés.
    **********************************************************************************

Voilà je te dit @+

Publicité
tomtom95
 Posté le 05/01/2010 à 01:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Oublie : supprime les cracks sur le pc lecteur E

Crack.exe;E:\Documents and Settings\LAFAGE PATRICK\Local Settings\Temp\Rar$EX00.532
Crack.exe;E:\Program Files\WinRAR (3.71 fr)

Et supprime tes points de restauration

Tu va supprimer tes anciennes sauvegarde du pc :

il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.

  • Cliquez sur le bouton Démarrer faîtes un clique droit sur "poste de travail" puis cliquez sur "Propriétés" :
  • Cliquez ensuite sur "Onglet Restauration systéme" :
  • Décochez la case du ou des disque(s) pour lesquels vous souhaitez désactiver la restauration du système :

  • Pour réactiver la restauration système
    il suffit de cocher à nouveau les cases mais cela ne récupérera pas les anciens points de restauration du système.
  • Ont voir aprés tout ceci pour d'autres outils

    Jack-2010
     Posté le 12/01/2010 à 00:41 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Bonsoir "tomtom95" ,

    j'ai repris le boulot Lundi 4 Janvier 2010 : je n'ai pas touché terre la semaine dernière par manque de temps.

    tout d'abord, je te remercie pour cette nouvelle feuille de route.

    Démarrage puis connexion du PC du voisin à Internet par USB : pour cela, j'ai installé le pilote "fbxusb32.sys" de la FreeBox.

    Recherche du fichier "E:\Documents and Settings\LAFAGE PATRICK\Local Settings\Temp\Rar$EX00.532" : pas trouvé
    Recherche du fichier "E:\Program Files\WinRAR (3.71 fr)" - suppression : OK

    Désactivation de la restauration du système - Appliquer : OK
    Ré-activation de la restauration du système - Appliquer : OK

    Exécution de MSConfig : le mode de démarrage "Démarrage normal" est déjà coché ; je clique le bouron "OK", une fenêtre s'affiche pour me proposer de re-démarrer ou non" le PC : je le re-démarre.

    Désinstallation de "Malwarebyte" par l'intermédiaire d'"Ajout/suppression de programmes" du Panneau de Configuration : problème ---> s'affiche la fenêtre "vbAccelerator SGrid II Control" : Run-Time error '0' > bouton OK, puis s'affiche la fenêtre "Malwarebytes' Anti-Malware : Run-Time error '440': Automation error > bouton OK" ; s'affiche une dernière fenêtre m'informant que "Malwarebytes' Anti-Malware" a été correctement désinstallé de cet ordinateur. Après véricication avec l'Explorateur de Windows, le dossier d'installation a effectivement disparu.

    Au moment de télécharger "ToolCleaner2" en cliquant sur l'icône d'Internet Explorer, je m'aperçois que l'exécutable d'Internet Explorer a disparu : une recherche de "iexplorer.exe" sur la totalité du disque dur, me le confirme. J'accepte la proposition de recherche de Windows qui trouve "iexplorer.exe" dans "C:\Windows\$NtServicePackUninstall$" : ça fonctionne. L'idée me vient de jeter un coup d'oeil dans la sous-rubrique "Quarantaine" de la rubrique "Anti-virus/Anti-Espion" de ZoneAlarm : une multitude d'exécutables s'y trouve (rundll32.exe, msmsgs.exe, wab.exe, cmd.exe, ...) dont "iexplorer.exe", associé à une infection "Type_Win32" pour la plupart et pour quelques uns d'une infection "Virus.Win32.Virut.ce".

    Autre cas bizarre : lorsque je double-clique sur son icône, "NotePad" ne se lance pas, bien que "notepad.exe" soit présent dans le dossier "Windows" ; j'ai remis à jour le champ 'cible' de l'icône mais je n'ai pas pensé à relever ce qu'il y avait avant.

    Téléchargement de "ToolsCleaner2" sur le bureau à partir du lien proposé : Internet Explorer se ferme au moment du clic sur le lien ! Je lance le téléchargement à partir de mon portable puis je transfère le fichier d'installation par clé USB sur le PC de mon voisin ; installation : OK. Bouton "Recherche" puis bouton "Suppression" des outils utilisés : OK. Voici ci-dessous le rapport de "TCleaner.txt" ...
    ====================================================================
    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\Rsit: trouvé !
    C:\1-Françoise\Userinit\2010-01-03\RSIT (3.2.12.1 fr)\Rsit.exe: trouvé !
    C:\Program Files\HijackThis (2.0.2 uk)\HijackThis.exe: trouvé !
    C:\Program Files\RSIT (3.2.12.1 fr)\Rsit.exe: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Program Files\HijackThis (2.0.2 uk)\HijackThis.exe: supprimé !
    C:\1-Françoise\Userinit\2010-01-03\RSIT (3.2.12.1 fr)\Rsit.exe: supprimé !
    C:\Program Files\RSIT (3.2.12.1 fr)\Rsit.exe: supprimé !
    C:\Rsit: supprimé !
    ====================================================================
    Téléchargement de "Ccleaner Slim" à partir du lien proposé : Internet Explorer se ferme également au moment du clic sur le lien ; je procède comme pour "ToolsCleaner2". Installation : OK.
    - rubrique "Nettoyeur" - bouton "Analyser" : OK. Bouton "Nettoyer" : OK. A la 3ème fois, il n'y a plus rien de trouvé.
    - rubrique "Registre" - bouton "Chercher des erreurs" : OK. Bouton "Corriger les erreurs sélectionnées" : à la question "créer une sauvegarde des clés du registre qui vont être supprimées", je réponds "oui". J'ai exécuté cette recherche 4 fois.

    Téléchargement de "MalwareByte's Anti-Malware" sur le bureau à partir du lien proposé : Internet Explorer se ferme (idem) ; je procède comme pour "ToolsCleaner2". A la fin de l'installation, je laisse coché "Mettre à jour MalwareByte's Anti-Malware" et "Exécuter MalwareByte's Anti-Malware" ; je clique le bouton "Terminer". Problème ---> s'affiche la fenêtre "vbAccelerator SGrid II Control" : Run-Time error '0' > bouton OK, puis s'affiche la fenêtre "Malwarebytes' Anti-Malware : Run-Time error '440': Automation error > bouton OK" : il n'y aura donc pas d'examen.

    Téléchargement de "RSIT" à partir du lien proposé : Internet Explorer se ferme également au moment du clic sur le lien ; je procède comme pour "ToolsCleaner2" (téléchargement à partir de mon portable) ; j'en profite pour récupérer aussi "HijackThis" sur le site de "pcastuces.com". Je transfère ces deux utilitaires par clé USB sur le PC de mon voisin. J'installe "HijackThis" avec les options d'installation par défaut, puis j'exécute "RSIT.exe" : tout se passe sans incident. Voici ci-dessous les liens des fichiers "info.txt" et "log.txt" de RSIT ...

    RSIT - info.txt - http://www.cijoint.fr/cjlink.php?file=cj201001/cijSeXfbdB.txt
    RSIT - log.txt - http://www.cijoint.fr/cjlink.php?file=cj201001/cijB7YdwZ8.txt
    hijackthis.log - http://www.cijoint.fr/cjlink.php?file=cj201001/cijygVn9cG.txt

    Comme tu peux le constater, le système est instable : problèmes à la désinstallation, à l'installation et à l'exécution de "MalwareByte's Anti-Malware" (fenêtre "vbAccelerator SGrid II Control"), Internet Explorer qui se ferme lorsqu'on clique sur un lien de téléchargement (module absent ?), environ 330 exécutables en quarantaine dans ZoneAlarm ...

    Et si l'on restaurait en mode "sans échec", uniquement ces exécutables ("en quarantaine" dans ZoneAlarm) sur le PC du voisin, puis que l'on monte le disque "malade" en esclave sur mon PC pour le désinfecter avec "CureIt", ne lui rendrait-on pas une meilleure stabilité ...? Qu'en penses-tu ... ?

    Je te remercie du temps que tu m'as consacré.

    Cordialement. Jack-2010.

    tomtom95
     Posté le 12/01/2010 à 16:50 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
      Astucien

    Bonjour jack-2010

    Rien de trés grave en apparence sur tes rapports a part ce systéme instable car l'infection étant très difficile à retirer et abîmer des fichiers systèmes ce qui est le cas ici, donc le formatage est toujour en vigueur

    Je vois que tu as pas d'antivirus installer sur le pc et de nombleux fichiers manquant dans les services

    A tu le CD de windows pour ce pc ???

    Voilà ce que je te propose pour l'instant plusieurs choses pour récuperer ton systéme

    Désinstaller,supprimer tout tes logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr ( tu veras par la suite pour réinstaller losque le pc seras de nouveau ok)

    Ce qui veut dire suppression Zone Alarm etc...

    Tu va supprimer les prefetch > démarrer >poste de travail >lecteur c >windows >prefetch et suppression (passe ccleaner nettoyeur et registre )

    ------------------------------------------------------------------------------------------------------------

    Tu va fait l'Affichage des dossiers cachés :


    • Rends-toi à l'onglet Affichage
    • Menu "Outils "
    • Clique sur "Options des dossiers... "
    • Puis clique sur l'onglet "Affichage"
    • Coche la case "Afficher les fichiers et dossiers cachés"
    • Décoche la case "Masquer les extensions des fichiers dont le type est connu"
    • Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    • Clique sur le bouton "Appliquer à tous les dossiers" puis clique sur "OK"

    Recherche dans progam Files les reste de dossier de logiciel désinstaller et supprimer

    ---------------------------------------------------------------------------------

    Avant toute manipulation dans la Base de Registre,ou de réparation du systéme
    il est conseiller de faire une sauvegarder
    avant modification, de façon à pouvoir la restaurer en cas d'erreur.

    Pour cela :


    Faire Démarrer / Exécuter
    Copier / coller cette ligne de commande
    : REGEDIT /backup c:\backup_bdr.reg et valider par [Ok]

    De cette façon une sauvegarde sera créée à la racine de
    C:\ (changer la lettre du lecteur si besoin)

    Télécharge Regseeker pour nettoyer ta base de registre

    http://www.6ma.fr/tuto/regseeker+nettoyer+base+registre-104

    ----------------------------------------------------

    tu va réinstaller safeboot avec ceci

    Télécharger SafeBootKeyRepair
    SafeBootKeyRepair

    --------------------------------------------------------------------------------------------

    Tu va réinstaller le host

    Télécharge RHosts (de SiRi)
    http://siri.urz.free.fr/RHosts.php
    Double clique dessus pour l'exécuter
    et cliques sur " Restore original Hosts "
    ps : c est normal que rien ne se passe
    ensuire redémarre le pc
    -------------------------------------------------------------------------

    tu va accéder aux services
    Clique sur Démarrer > Clique sur Exécuter >Tape dans la fenêtre services.msc

    Et regarder ce qui est désactiver sers toi de ceci pour les remettre par défaut http://www.pcastuces.com/pratique/windows/services/page1.htm

    Tu va faire Avec le CD windows dans le lecteur: taper cmd dans exécuter et sur la page invité de commande
    taper SFC /scannow pour faire une réparation des erreurs du systéme

    -------------------------------------------------------------------------------------

    Tu va installer un antivirus antivir téléchargement http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

    Tuto pour la configuration https://forum.pcastuces.com/configuration_antivir_personal_free-f31s44.htm

    Fait un scanne et post le rapport .

    Voilà pour l'instant je te dit @+

    Evasion60
     Posté le 12/01/2010 à 17:00 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Groupe Sécurité

    Hello

    ... Juste pour suivre, mais DID71 a pris ce topic " Virut ", c'est pas une infection " légère " ( si vraiment rélévée )

    Cordialement

    Jack-2010
     Posté le 14/02/2010 à 23:54 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Bonsoir "tomtom95",

    Tout d'abord, je te remercie pour cette nouvelle feuille de route ainsi que pour ta promptitude à répondre. J'ai vraiment tardé à donner suite à ta réponse et pourtant le problème de mon voisin (qui est aussi devenu le mien) est toujours d'actualité.

    J'ai récupéré le CDrom d'installation de Windows XP (Home édition).

    Le PC de mon voisin est protégé par "ZoneAlarm Internet Security Suite (8.0.108.000 fr)" qui inclut les fonctions anti-virus, anti-espion et anti-spam, une protection des courriers électroniques ainsi qu'un contrôle parental. Je ne l'ai toutefois pas désintallé mais seulement désactivé.

    Téléchargement puis exécution "nettoyer le registre" de RegSeeker (1.55 fr) ; j'ai "Sélectionner les éléments Verts" puis j'ai "Supprimer les éléments sélectionnés". Je n'ai pas osé "Sélectionner les éléments Rouges" puis les traiter.

    Téléchargement puis exécution de "SafeBootKeyRepair".

    Téléchargement puis exécution de "RHosts".

    Exécution de "services.msc" : je pense que les fichiers manquant dans les services vient du fait que j'ai dû exécuter RSIT en "mode sans échec" ; je ne me souviens plus très bien.

    L'exécution de la commande "SFC /scannow" a solutionné bien des problèmes, notamment l'installation puis l'exécution de "MalwareByte's Anti-Malware" (affichage de la fenêtre d'erreur "vbAccelerator SGrid II Control"), ou encore Internet Explorer qui se ferme lorsqu'on clique sur un lien de
    téléchargement.

    Bien que tu ne me l'as pas demandé, j'ai de nouveau installé puis exécuté (sans problème) "MalwareByte's Anti-Malware" dont je te joins ci-dessous le rapport
    =======================================================
    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3637
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    25/01/2010 22:22:11
    mbam-log-2010-01-25 (22-22-11).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 187315
    Temps écoulé: 1 hour(s), 31 minute(s), 41 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    =======================================================
    A ce stade, le PC de mon voisin a retrouvé sa vélocité et moi, l'espoir de réussir à le désinfecter grâce à vos conseils avisés.

    Téléchargement puis exécution de "AntiVir Personal Free (9.0.0.74 fr)" et là, stupeur ! une multitude de fichiers sont infectés de trojans ... au point que le démarrage du PC n'aboutit plus qu'en "mode sans échec" ! Voici ci-après le lien du fichier "AVSCAN-20100204-183206-9A79D64B.LOG" (renommé en ".txt") ... http://www.cijoint.fr/cjlink.php?file=cj201002/cijAoy54ax.txt

    Le reformatage et la ré-install de Windows XP se précise ; néanmoins, je serais fort intéressé de savoir ce que tu proposes habituellement comme utilitaire pour virer ces vilaines bébettes ... ?

    Et dire que tout cela n'ira pas en s'arrangeant ... !

    Je te remercie de ton aide.

    A+. Jack.

    Jack-2010
     Posté le 18/02/2010 à 19:28 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Hou...hou... tomtom95 ...

    serais-tu en vacances heureux veinard ... ?

    je suis toujours intéressé pour savoir quel utilitaire vous préconisez habituellement pour virer les trojans qui ont envahis un PC ...

    A+. Jack-2010.

    philae
     Posté le 18/02/2010 à 20:55 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Grande Maîtresse astucienne

    bonsoir

    normalement did71 et evasion60 t'ont en suivi, ils devraient passer sous peu

    did71
     Posté le 18/02/2010 à 21:44 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
      Astucien

    Bonsoir Jack-2010,

    je te conseille de sauvegarder tes documents, photos, documents textes, ne pas conserver les programmes, les fichiers .exe et .scr, les archives pouvant contenir des exécutables ou programmes ainsi que les fichiers .htm, .html et .php!

    l'infection traine depuis trop longtemps sur ton PC pour être certain d'arriver à un résultat!

    Une fois, tes sauvegarde effectuées, tente ceci:

    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm

    poste le rapport ensuite!

    a+

    Publicité
    Jack-2010
     Posté le 27/02/2010 à 00:55 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Bonsoir "did71",

    Tout d'abord, je te remercie de ton message.

    J'ai enfin trouvé du temps pour suivre tes conseils, c'est-à-dire effectuer des sauvegardes (documents, photos, musique, mails, etc ...) puis télécharger et exécuter ComboFix dont je te joins ci-dessous le fichier "log.txt" ...
    -------------------------------------------------------------------------------------
    ComboFix 10-02-26.01 - Administrateur 26/02/2010 21:07:28.1.1 - x86 MINIMAL
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.767.649 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\Bibitte.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\recycler\S-1-5-21-1060284298-1715567821-1417001333-1003
    c:\recycler\S-1-5-21-971929597-2237029002-1904607352-1003
    c:\windows\system32\tmp.reg
    c:\windows\system32\userinit.bat

    c:\windows\system32\logonui.exe . . . est infecté!! . . .Failed to restore. Attempting to replace on reboot

    Une copie infectée de c:\windows\system32\logonui.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\system volume information\_restore{81FA5C7A-E834-43A1-9A67-A9268E59CEE2}\RP651\A0168288.exe
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_NPF


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-26 au 2010-02-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-23 21:22 . 2010-02-23 21:22 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
    2010-02-04 20:27 . 2010-02-04 20:27 14336 ----a-w- c:\windows\system32\spnpinst.exe
    2010-02-04 20:27 . 2010-02-04 20:27 8192 ----a-w- c:\windows\system32\spdwnwxp.exe
    2010-02-04 20:27 . 2010-02-04 20:27 67072 ----a-w- c:\windows\system32\rdshost.exe
    2010-02-04 20:27 . 2010-02-04 20:27 85504 ----a-w- c:\windows\system32\makecab.exe
    2010-02-04 20:26 . 2010-02-04 20:26 49664 ----a-w- c:\windows\system32\mshta.exe
    2010-02-04 20:26 . 2010-02-04 20:26 818688 ----a-w- c:\windows\system32\mmc.exe
    2010-02-04 20:26 . 2010-02-04 20:26 289280 ----a-w- c:\windows\system32\fxssvc.exe
    2010-02-04 20:26 . 2010-02-04 20:26 259072 ----a-w- c:\windows\system32\fxscover.exe
    2010-02-04 20:26 . 2010-02-04 20:26 143360 ----a-w- c:\windows\system32\fxsclnt.exe
    2010-02-04 20:26 . 2010-02-04 20:26 180224 ----a-w- c:\windows\system32\dwwin.exe
    2010-02-04 20:26 . 2010-02-04 20:26 249856 ----a-w- c:\windows\system32\drmupgds.exe
    2010-02-04 20:25 . 2010-02-04 20:25 87552 ----a-w- c:\windows\system32\dllcache\muisetup.exe
    2010-02-04 20:25 . 2010-02-04 20:25 85504 ----a-w- c:\windows\system32\diantz.exe
    2010-02-04 20:25 . 2010-02-04 20:25 71680 ----a-w- c:\windows\system32\blastcln.exe
    2010-02-04 20:21 . 2010-02-04 20:21 210432 ----a-w- c:\windows\system32\accwiz.exe
    2010-02-04 20:21 . 2010-02-04 20:21 67584 ----a-w- c:\windows\system32\alg.exe
    2010-02-04 20:20 . 2010-02-04 20:20 114688 ----a-w- c:\windows\system32\iexpress.exe
    2010-02-04 20:19 . 2010-01-22 19:36 516096 ----a-w- c:\windows\system32\logonui.exe
    2010-02-04 20:19 . 2010-02-04 20:19 124928 ----a-w- c:\windows\system32\net1.exe
    2010-02-04 20:19 . 2010-02-04 20:19 31744 ----a-w- c:\windows\system32\ntsd.EXE
    2010-02-04 20:14 . 2010-02-04 20:21 176128 ----a-w- c:\windows\regedit.exe
    2010-02-04 20:14 . 2010-02-04 20:21 73216 ----a-w- c:\windows\notepad.exe
    2010-02-04 20:14 . 2010-02-04 20:14 1060352 ----a-w- c:\windows\Explorer.EXE
    2010-02-04 20:13 . 2010-02-04 20:13 18432 ----a-w- c:\windows\system32\ups.exe
    2010-02-04 20:13 . 2010-02-04 20:19 42496 ----a-w- c:\windows\system32\net.exe
    2010-02-04 20:13 . 2010-02-04 20:13 69632 ----a-w- c:\windows\system32\odbcconf.exe
    2010-02-04 20:12 . 2010-02-04 20:12 91136 ----a-w- c:\windows\system32\notepad.exe
    2010-02-02 18:41 . 2010-02-02 18:41 -------- d-----w- c:\documents and settings\All Users\Application Data\CA
    2010-02-02 18:39 . 2010-02-02 18:39 -------- d-----w- c:\program files\CA Anti-Spyware 2009
    2010-02-02 17:50 . 2010-02-02 18:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-02-02 17:48 . 2010-02-02 17:50 -------- d-----w- c:\program files\Spybot - Search & Destroy (1.6.2.46 fr)
    2010-02-02 16:37 . 2010-02-02 16:37 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2010-02-01 17:56 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-01-31 18:10 . 2010-02-26 19:54 -------- d-----w- c:\program files\Avira AntiVir Personal free (9.0.0.74 fr)
    2010-01-31 17:56 . 2010-01-31 17:56 -------- d-----w- c:\program files\WinStart Manager
    2010-01-31 17:55 . 2010-01-31 18:06 -------- d-----w- c:\program files\WinStart Manager (1.7.0.0 uk)
    2010-01-30 15:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-30 15:31 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-30 15:26 . 2010-01-30 15:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware (1.44 fr)
    2010-01-30 15:08 . 2004-08-04 06:07 8832 ----a-w- c:\windows\system32\dllcache\wmiacpi.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-26 20:01 . 2008-12-22 19:13 -------- d-----w- c:\program files\CheckPoint
    2010-02-26 19:59 . 2008-12-22 19:13 96 ----a-w- c:\windows\system32\pdfl.dat
    2010-02-04 20:22 . 2009-12-18 17:04 -------- d-----w- c:\program files\WinRAR (3.91 fr)
    2010-01-25 19:30 . 2010-01-25 19:30 -------- d-----w- c:\documents and settings\LAFAGE PATRICK\Application Data\Malwarebytes
    2010-01-25 19:30 . 2010-01-25 19:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-01-24 18:33 . 2010-01-24 18:33 -------- d-----w- c:\program files\RegSeeker (1.55 fr)
    2010-01-23 08:53 . 2010-01-23 08:53 49152 ----a-w- c:\windows\system32\verclsid.exe
    2010-01-23 08:53 . 2010-01-23 08:53 131072 ----a-w- c:\windows\system32\ati2evxx.exe
    2010-01-23 08:53 . 2006-10-18 18:00 249856 ----a-w- c:\windows\system32\drmupgds.exe.VIR
    2010-01-23 08:53 . 2006-09-28 16:56 146432 ----a-w- c:\windows\system32\WudfHost.exe.VIR
    2010-01-23 08:53 . 2005-06-05 07:41 46592 ----a-w- c:\windows\system32\xpsp1hfm.exe
    2010-01-23 08:53 . 2002-10-29 08:48 98304 ----a-w- c:\windows\system32\atiiprxx.exe
    2010-01-23 08:53 . 2002-10-29 08:48 28672 ----a-w- c:\windows\system32\Ati2mdxx.exe
    2010-01-23 08:53 . 2001-07-09 09:50 176128 ----a-w- c:\windows\system32\NeroCheck.exe
    2010-01-23 01:15 . 2006-10-18 18:00 17408 ----a-w- c:\windows\system32\wpdshextautoplay.exe
    2010-01-23 01:15 . 2002-10-29 08:46 77824 ----a-w- c:\windows\system32\wmpstub.exe
    2010-01-23 01:14 . 2006-10-18 19:58 8704 ----a-w- c:\windows\system32\wdfmgr.exe
    2010-01-23 01:13 . 2006-10-18 19:58 8704 ----a-w- c:\windows\system32\uwdf.exe
    2010-01-23 01:12 . 2002-10-29 08:46 15872 ----a-w- c:\windows\system32\taskman.exe
    2010-01-23 01:11 . 2004-08-19 23:10 21504 ----a-w- c:\windows\system32\spupdwxp.exe.VIR
    2010-01-23 01:11 . 2004-08-19 23:10 8192 ----a-w- c:\windows\system32\spdwnwxp.exe.VIR
    2010-01-23 01:11 . 2004-08-19 23:10 32768 ----a-w- c:\windows\system32\slrundll.exe
    2010-01-23 01:09 . 2002-10-29 08:45 52736 ----a-w- c:\windows\system32\migpwd.exe
    2010-01-23 01:08 . 2004-08-19 23:09 20992 ----a-w- c:\windows\system32\faxpatch.exe.VIR
    2010-01-23 01:07 . 2002-10-29 08:45 20480 ----a-w- c:\windows\system32\cliconfg.exe
    2010-01-22 23:15 . 2010-01-22 23:15 28253993 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_01_23_00_14_44_full.dmp.zip
    2010-01-22 20:41 . 2002-10-29 08:46 135168 ----a-w- c:\windows\system32\wscript.exe
    2010-01-22 20:41 . 2004-08-19 23:10 34304 ----a-w- c:\windows\system32\wscntfy.exe.VIR
    2010-01-22 20:41 . 2002-10-29 08:46 32768 ----a-w- c:\windows\system32\wpnpinst.exe
    2010-01-22 20:41 . 2002-10-29 08:46 32256 ----a-w- c:\windows\system32\wpabaln.exe
    2010-01-22 20:41 . 2002-10-29 08:46 5632 ----a-w- c:\windows\system32\winver.exe
    2010-01-22 20:41 . 2002-10-29 08:46 438784 ----a-w- c:\windows\system32\wiaacmgr.exe
    2010-01-22 20:41 . 2002-10-29 08:46 66560 ----a-w- c:\windows\system32\wextract.exe
    2010-01-22 20:41 . 2002-10-29 08:46 295424 ----a-w- c:\windows\system32\vssvc.exe
    2010-01-22 20:40 . 2002-10-29 08:46 18432 ----a-w- c:\windows\system32\ups.exe.VIR
    2010-01-22 20:40 . 2002-10-29 08:46 16896 ----a-w- c:\windows\system32\upnpcont.exe
    2010-01-22 20:40 . 2002-10-29 08:46 44544 ----a-w- c:\windows\system32\tscupgrd.exe
    2010-01-22 20:39 . 2002-10-29 08:46 13312 ----a-w- c:\windows\system32\tracert.exe
    2010-01-22 20:39 . 2002-10-29 08:46 99328 ----a-w- c:\windows\system32\telnet.exe
    2010-01-22 20:39 . 2002-10-29 08:46 143360 ----a-w- c:\windows\system32\taskmgr.exe
    2010-01-22 20:39 . 2002-10-29 08:46 107520 ----a-w- c:\windows\system32\sysocmgr.exe
    2010-01-22 20:39 . 2002-10-29 08:46 14848 ----a-w- c:\windows\system32\stimon.exe
    2010-01-22 20:39 . 2002-10-29 08:46 684032 ----a-w- c:\windows\system32\sstext3d.scr
    2010-01-22 20:39 . 2002-10-29 08:46 14336 ----a-w- c:\windows\system32\ssstars.scr
    2010-01-22 20:39 . 2002-10-29 08:46 610304 ----a-w- c:\windows\system32\sspipes.scr
    2010-01-22 20:39 . 2002-10-29 08:46 18944 ----a-w- c:\windows\system32\ssmyst.scr
    2010-01-22 20:39 . 2002-10-29 08:46 47104 ----a-w- c:\windows\system32\ssmypics.scr
    2010-01-22 20:39 . 2002-10-29 08:46 20992 ----a-w- c:\windows\system32\ssmarque.scr
    2010-01-22 20:38 . 2002-10-29 08:46 393216 ----a-w- c:\windows\system32\ssflwbox.scr
    2010-01-22 20:38 . 2002-10-29 08:46 708608 ----a-w- c:\windows\system32\ss3dfo.scr
    2010-01-22 20:38 . 2002-10-29 08:46 19968 ----a-w- c:\windows\system32\ssbezier.scr
    2010-01-22 20:33 . 2002-10-29 08:46 13824 ----a-w- c:\windows\system32\savedump.exe
    2010-01-22 20:33 . 2002-10-29 08:46 14336 ----a-w- c:\windows\system32\runonce.exe
    2010-01-22 20:33 . 2002-10-29 08:46 78336 ----a-w- c:\windows\system32\rtcshare.exe
    2010-01-22 20:33 . 2002-10-29 08:46 15872 ----a-w- c:\windows\system32\rsh.exe
    2010-01-22 20:33 . 2002-10-29 08:46 14848 ----a-w- c:\windows\system32\rexec.exe
    2010-01-22 20:33 . 2002-10-29 08:46 12288 ----a-w- c:\windows\system32\regsvr32.exe
    2010-01-22 20:33 . 2002-10-29 08:46 53248 ----a-w- c:\windows\system32\reg.exe
    2010-01-22 20:33 . 2002-10-29 08:46 67072 ----a-w- c:\windows\system32\rdshost.exe.VIR
    2010-01-22 20:32 . 2002-10-29 08:46 13824 ----a-w- c:\windows\system32\rdsaddin.exe
    2010-01-22 20:32 . 2002-10-29 08:46 23040 ----a-w- c:\windows\system32\rcp.exe
    2010-01-22 20:32 . 2002-10-29 08:46 57344 ----a-w- c:\windows\system32\rasphone.exe
    2010-01-22 20:32 . 2002-10-29 08:46 35840 ----a-w- c:\windows\system32\rcimlby.exe
    2010-01-22 20:32 . 2002-10-29 08:46 20992 ----a-w- c:\windows\system32\qprocess.exe
    2010-01-22 20:29 . 2004-08-19 23:10 9728 ----a-w- c:\windows\system32\proxycfg.exe
    2010-01-22 20:29 . 2002-10-29 08:46 50688 ----a-w- c:\windows\system32\proquota.exe
    2010-01-22 20:29 . 2002-10-29 08:46 109568 ----a-w- c:\windows\system32\progman.exe
    2010-01-22 20:29 . 2004-08-19 23:10 49152 ----a-w- c:\windows\system32\powercfg.exe.VIR
    2010-01-22 20:29 . 2002-10-29 08:46 19456 ----a-w- c:\windows\system32\ping.exe
    2010-01-22 20:29 . 2002-10-29 08:46 15872 ----a-w- c:\windows\system32\perfmon.exe
    2010-01-22 20:27 . 2002-10-29 08:45 6144 ----a-w- c:\windows\system32\msdtc.exe
    2010-01-22 20:26 . 2002-10-29 08:45 21504 ----a-w- c:\windows\system32\fontview.exe
    2010-01-22 20:26 . 2004-08-19 23:09 43520 ----a-w- c:\windows\system32\fltmc.exe
    2010-01-22 20:26 . 2002-10-29 08:45 29184 ----a-w- c:\windows\system32\findstr.exe
    2010-01-22 20:26 . 2002-10-29 08:45 45568 ----a-w- c:\windows\system32\extrac32.exe
    2010-01-22 20:26 . 2002-10-29 08:45 16896 ----a-w- c:\windows\system32\expand.exe
    2010-01-22 20:26 . 2002-10-29 08:45 180224 ----a-w- c:\windows\system32\dwwin.exe.VIR
    2010-01-22 20:26 . 2002-10-29 08:45 17920 ----a-w- c:\windows\system32\dvdupgrd.exe
    2010-01-22 20:26 . 2002-10-29 08:45 10752 ----a-w- c:\windows\system32\dumprep.exe
    2010-01-22 20:26 . 2002-10-29 08:45 83456 ----a-w- c:\windows\system32\dpvsetup.exe.VIR
    2010-01-22 20:26 . 2002-10-29 08:45 18432 ----a-w- c:\windows\system32\dpnsvr.exe
    2010-01-22 20:25 . 2002-10-29 08:45 30208 ----a-w- c:\windows\system32\dplaysvr.exe.VIR
    2010-01-22 20:25 . 2002-10-29 08:45 15872 ----a-w- c:\windows\system32\dmremote.exe
    2010-01-22 20:25 . 2002-10-29 08:45 225280 ----a-w- c:\windows\system32\dmadmin.exe
    2010-01-22 20:25 . 2002-10-29 08:45 167936 ----a-w- c:\windows\system32\diskpart.exe
    2010-01-22 20:25 . 2002-10-29 08:45 85504 ----a-w- c:\windows\system32\diantz.exe.VIR
    2010-01-22 20:25 . 2002-10-29 08:45 82432 ----a-w- c:\windows\system32\dfrgfat.exe
    2010-01-22 20:25 . 2002-10-29 08:45 25088 ----a-w- c:\windows\system32\defrag.exe.VIR
    2010-01-22 20:24 . 2002-10-29 08:45 73216 ----a-w- c:\windows\system32\magnify.exe
    2010-01-22 20:24 . 2002-10-29 08:46 50176 ----a-w- c:\windows\system32\utilman.exe
    2010-01-22 20:24 . 2002-10-29 08:46 216576 ----a-w- c:\windows\system32\osk.exe
    2010-01-22 20:24 . 2002-10-29 08:46 367616 ----a-w- c:\windows\system32\tourstart.exe.VIR
    2010-01-22 20:24 . 2002-10-29 08:45 144384 ----a-w- c:\windows\system32\mobsync.exe
    2010-01-22 20:24 . 2002-10-29 08:45 400896 ----a-w- c:\windows\system32\cmd.exe
    2010-01-22 20:24 . 2002-10-29 08:45 170496 ----a-w- c:\windows\system32\imapi.exe.VIR
    2010-01-22 20:20 . 2002-10-29 08:45 31744 ----a-w- c:\windows\system32\ddeshare.exe
    2010-01-22 20:20 . 2002-10-29 08:45 98304 ----a-w- c:\windows\system32\cscript.exe
    2010-01-22 20:20 . 2002-10-29 08:45 27648 ----a-w- c:\windows\system32\conime.exe
    2010-01-22 20:20 . 2002-10-29 08:45 65536 ----a-w- c:\windows\system32\cmstp.exe
    2010-01-22 20:20 . 2002-10-29 08:45 40448 ----a-w- c:\windows\system32\cmmon32.exe
    .

    ------- Sigcheck -------

    [-] 2009-12-23 . EBB0A609E3838A843326ABEA2091A47A . 80896 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe
    [-] 2009-12-23 . 1AFD8731ECDBE8078482DD815BE64727 . 60416 . . [5.1.2600.2696] . . c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

    [-] 2008-04-14 . E74DDB12188C2FF57A78624DBF7332FC . 26624 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe

    [-] 2010-02-04 . 4A0C373DB1BFEFF7B2D1B28E20BD838B . 1060352 . . [6.00.2900.3156] . . c:\windows\Explorer.EXE



    c:\windows\System32\wscntfy.exe ... manque !!
    c:\windows\System32\ctfmon.exe ... manque !!
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2009-12-23 69632]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2002-10-29 83360]
    Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2002-10-29 49152]
    WinStart Manager.lnk - c:\program files\WinStart Manager (1.7.0.0 uk)\WinStart Manager.exe [2009-12-1 753664]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
    2009-12-23 21:23 53248 ----a-w- c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyStartUp10.0]
    2009-12-23 21:23 270336 ----a-w- c:\program files\Microsoft Money\System\Activation.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2010-01-22 21:41 1696256 ----a-w- c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    2009-01-26 14:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy (1.6.2.46 fr)\TeaTimer.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "65533:TCP"= 65533:TCP:Services
    "52344:TCP"= 52344:TCP:Services
    "2479:TCP"= 2479:TCP:Services
    "8330:TCP"= 8330:TCP:Services

    S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [15/04/2005 17:29 21344]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - MVDCODEC
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-ATIPTA - atiptaxx.exe
    HKU-Default-Run-CTFMON.EXE - c:\windows\System32\CTFMON.EXE
    MSConfigStartUp-avgnt - c:\program files\Avira AntiVir Personal free (9.0.0.74 fr)\Avira\AntiVir Desktop\avgnt.exe
    MSConfigStartUp-ZoneAlarm Client - c:\program files\Zone Labs\ZoneAlarm\zlclient.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-26 21:20
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
    @DACL=(02 0000)
    @SACL=

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{13A7995E-7D8F-45B4-9C77-819265225763}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:00000001
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer Spectrum Analyzer DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{95037DA1-6ED9-4B27-8CFF-9AD3DFB0B2F2}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:fffffffb
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer SRSWow DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{974BF3BF-C9AE-4476-8003-5FE544DF458C}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:fffffffe
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer Video Processing DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{B2DBA270-9F49-4513-AC13-76496D6EBA3A}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:00000002
    "AutoInsert"=dword:00000000
    "Name"="Speaker Enhancement DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{D01BC8E2-70AD-4976-9612-21B37ED5C8E8}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:00000003
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer Equalizer DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Player\CDData]
    @DACL=(02 0000)
    .
    Heure de fin: 2010-02-26 21:27:26 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-02-26 20:27

    Avant-CF: 47 009 157 120 octets libres
    Après-CF: 47 106 777 088 octets libres

    - - End Of File - - DC4C68CDAC573159048D1B617BBE2E56
    -------------------------------------------------------------------------------------

    Qu'en déduis-tu ... ?

    Je te remercie de ton aide.

    A+ . Jack-2010.

    did71
     Posté le 27/02/2010 à 01:51 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
      Astucien

    Bonsoir jack,

    • Télécharge WinFileReplace de Loup Blanc sur ton Bureau,
    • Double-clique sur le fichier téléchargé,
    • Choisis la langue d'utilisation (1 : français),
    • Le programme se lance et vérifie le service pack de XP.
    • Le bloc-note s'ouvre. Indiquer ceci dans la fenêtre du bloc-note :

    c:\windows\system32\spoolsv.exe
    c:\windows\system32\userinit.exe
    c:\windows\Explorer.EXE
    c:\windows\System32\wscntfy.exe
    c:\windows\System32\ctfmon.exe

    • Fermer le bloc-note et valider en enregistrant les changements.
    • Le service Pack correspondant à la version de XP est alors téléchargé. Cela peut prendre un peu de temps selon le débit de la connexion.
    • Il faut ensuite accepter les conditions du CLUF.
    • Confirmer la restauration du fichier en cliquant sur "o" et "entrée".
    • Confirmer en appuyant sur "o" et "entrée" pour provoquer le remplacement des fichiers au redémarrage.
    • Un rapport va s'ouvrir au redémarrage en indiquant si la procédure a réussi.
    • Editer ce rapport sur le forum.
    • Tuto : http://forum.malekal.com/winfilereplace-restauration-fichiers-systemes-t19657.html
    a+

    Jack-2010
     Posté le 27/02/2010 à 21:52 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Bonsoir "did71",

    je te remercie tout d'abord d'avoir répondu aussi rapidement ; dors-tu parfois ... ?

    j'ai eu le temps de suivre ta feuille de route et tu trouveras ci-dessous le rapport ...
    -----------------------------------------------------------------------------
    WinFileReplace - ver : 1.1.0 - by Loup blanc

    ---------------------------
    Microsoft Windows XP
    Service Pack 2
    Fran‡ais
    ---------------------------
    Contrôle du fichier téléchargé :
    MD5 recherchée : 3d69b05e454ff7fce91670d4e3e9f473
    sp2.000 MD5 : 3d69b05e454ff7fce91670d4e3e9f473
    ---------------------------

    ============ Comparaison des fichiers avant remplacement ============

    ---------
    Les fichiers
    "c:\WINDOWS\system32\spoolsv.exe" MD5 : ebb0a609e3838a843326abea2091a47a
    "c:\WINDOWS\system32\spoolsv.exe" MD5 : ebb0a609e3838a843326abea2091a47a
    et
    "C:\FR-files\spoolsv.exe" MD5 : df9fc62ad51cb082b0ae371919a232cb
    "C:\FR-files\spoolsv.exe" MD5 : df9fc62ad51cb082b0ae371919a232cb
    sont différents...
    -----------

    Les fichiers
    "c:\WINDOWS\system32\userinit.exe" MD5 : e74ddb12188c2ff57a78624dbf7332fc
    "c:\WINDOWS\system32\userinit.exe" MD5 : e74ddb12188c2ff57a78624dbf7332fc
    et
    "C:\FR-files\userinit.exe" MD5 : 84717891f0734c611721f56c60b5fbc3
    "C:\FR-files\userinit.exe" MD5 : 84717891f0734c611721f56c60b5fbc3
    sont différents...
    -----------

    Les fichiers
    "c:\WINDOWS\Explorer.EXE" MD5 : 4a0c373db1bfeff7b2d1b28e20bd838b
    "c:\WINDOWS\Explorer.EXE" MD5 : 4a0c373db1bfeff7b2d1b28e20bd838b
    et
    "C:\FR-files\Explorer.EXE" MD5 : 2a7bd330924252a2fd80344fc949bb72
    "C:\FR-files\Explorer.EXE" MD5 : 2a7bd330924252a2fd80344fc949bb72
    sont différents...
    -----------

    Les fichiers
    et
    "C:\FR-files\wscntfy.exe" MD5 : 8558905ba81f6efaaf9667139bb117dd
    "C:\FR-files\wscntfy.exe" MD5 : 8558905ba81f6efaaf9667139bb117dd
    sont différents...
    -----------

    Les fichiers
    et
    "C:\FR-files\ctfmon.exe" MD5 : 64e41e8fee655b03e3f19ded21ba5118
    "C:\FR-files\ctfmon.exe" MD5 : 64e41e8fee655b03e3f19ded21ba5118
    sont différents...
    -----------


    ============ Comparaison des fichiers après remplacement ============

    -----------
    Les fichiers
    "c:\WINDOWS\system32\spoolsv.exe" MD5 : df9fc62ad51cb082b0ae371919a232cb
    et
    "C:\FR-files\spoolsv.exe" MD5 : df9fc62ad51cb082b0ae371919a232cb
    sont identiques...

    "c:\WINDOWS\system32\spoolsv.backup" présent...

    Remplacement réussi
    -----------

    Les fichiers
    "c:\WINDOWS\system32\userinit.exe" MD5 : 84717891f0734c611721f56c60b5fbc3
    et
    "C:\FR-files\userinit.exe" MD5 : 84717891f0734c611721f56c60b5fbc3
    sont identiques...

    "c:\WINDOWS\system32\userinit.backup" présent...

    Remplacement réussi
    -----------

    Les fichiers
    "c:\WINDOWS\Explorer.EXE" MD5 : 2a7bd330924252a2fd80344fc949bb72
    et
    "C:\FR-files\Explorer.EXE" MD5 : 2a7bd330924252a2fd80344fc949bb72
    sont identiques...

    "c:\WINDOWS\Explorer.backup" présent...

    Remplacement réussi
    -----------

    Les fichiers
    et
    "C:\FR-files\wscntfy.exe" MD5 = 8558905ba81f6efaaf9667139bb117dd
    sont différents...

    Echec du remplacement
    -----------

    Les fichiers
    et
    "C:\FR-files\ctfmon.exe" MD5 = 64e41e8fee655b03e3f19ded21ba5118
    sont différents...

    Echec du remplacement
    -----------

    ======= Fin du rapport =======
    -----------------------------------------------------------------------------

    Le PC de mon voisin a retrouvé de la vigueur : penses-tu que les résultats sont concluants, que c'est terminé ...?

    Merci de me répondre. A+ Jack. et encore merci. (j'aimerais savoir ce que vous faites).

    did71
     Posté le 27/02/2010 à 23:41 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
      Astucien

    Bonsoir Jack,

    ça me semble pas trop mal!

    Suis cette procédure et poste le rapport ESET:

    https://forum.pcastuces.com/eset_online_scanner___tutoriel-f31s9.htm

    Si si je dors quelques fois,lol! Tu veux savoir quoi sur ce que je fais?

    a+

    Jack-2010
     Posté le 01/03/2010 à 22:02 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Bonsoir "did71",

    Après le téléchargement puis l'exécution de "WinFileReplace" de Loup Blanc, je me suis rendu compte au redémarrage (mode "normal" ou mode "sans échec") du PC, qu'une fenêtre d'erreur intitulée "Parser Message : RCINT failure. String table ID not found. '42' at line 462.", s'affiche 10 fois de suite entre l'affichage du logo de Windows XP avec son chenillard et l'affichage de l'ouverture d'une session utilisateur avec mot de passe ; de plus, lorsqu'on veut arrêter le PC par le bouton "Démarrer", la fenêtre "Arrêter l'ordinateur" s'affiche et un clic sur le bouton "Arrêter" ferme la fenêtre "Arrêter l'ordinateur" mais le PC ne s'arrête pas !

    J'ai effectué le scan anti-virus d'ESET dont je te joins le rapport ci-dessous ...
    ----------------------------------------------------------------------------------
    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    # OnlineScanner.ocx=1.0.0.6211
    # api_version=3.0.2
    # EOSSerial=7faf0356e81af84b90fcd3d7581ae2be
    # end=finished
    # remove_checked=true
    # archives_checked=false
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2010-02-28 12:17:26
    # local_time=2010-02-28 01:17:26 (+0100, Paris, Madrid)
    # country="France"
    # lang=1033
    # osver=5.1.2600 NT Service Pack 2
    # compatibility_mode=8192 67108863 100 0 192 192 0 0
    # scanned=47009
    # found=6
    # cleaned=6
    # scan_time=1911
    C:\Program Files\WinRAR (3.91 fr)\Rar.exe Win32/Virut.NBP virus (cleaned - quarantined) 00000000000000000000000000000000 C
    C:\Program Files\WinRAR (3.91 fr)\Rar.exe.VIR Win32/Virut.NBP virus (cleaned - quarantined) 00000000000000000000000000000000 C
    C:\Qoobox\Quarantine\C\WINDOWS\system32\logonui.exe.vir Win32/Virut.NBP virus (cleaned - quarantined) 00000000000000000000000000000000 C
    C:\WINDOWS\inf\unregmp2.exe Win32/Virut.NBP virus (cleaned - quarantined) 00000000000000000000000000000000 C
    C:\WINDOWS\system32\logonui.exe Win32/Virut.NBP virus (cleaned - quarantined) 00000000000000000000000000000000 C
    C:\WINDOWS\system32\logonui.exe.VIR Win32/Virut.NBP virus (cleaned - quarantined) 00000000000000000000000000000000 C
    ----------------------------------------------------------------------------------

    Pour ce qui est de la fin de mon message précédent, à savoir "(j'aimerais savoir ce que vous faites)", je voulais dire "j'aimerais savoir faire ce que vous faites" c'est-à-dire savoir dépanner autour de moi, en connaissance de cause.

    Je te remercie pour ton aide. A +. Jack.

    did71
     Posté le 01/03/2010 à 22:12 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
      Astucien

    bonsoir jack,

    peux tu refaire la procédure combofix et poster le nouveau rapport!

    a+

    Jack-2010
     Posté le 01/03/2010 à 23:15 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Re-bonsoir "did71",

    je viens de réexécuter la procédure "ComboFix" dont voici le rapport ci-dessous ...
    --------------------------------------------------------------------
    ComboFix 10-03-01.01 - LAFAGE PATRICK 01/03/2010 22:49:44.2.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.767.560 [GMT 1:00]
    Lancé depuis: c:\documents and settings\LAFAGE PATRICK\Bureau\Bibitte.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\explorer.backup

    c:\windows\system32\logonui.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-01 au 2010-03-01 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-28 18:31 . 2003-03-24 14:52 188494 ----a-w- c:\windows\system32\dllcache\fpcount.exe
    2010-02-28 18:31 . 2002-05-14 12:08 109328 ----a-w- c:\windows\system32\dllcache\fp98swin.exe
    2010-02-28 18:31 . 2002-05-14 12:08 14608 ----a-w- c:\windows\system32\dllcache\fp98sadm.exe
    2010-02-27 23:42 . 2010-02-27 23:42 -------- d-----w- c:\program files\ESET
    2010-02-27 15:22 . 2010-02-27 15:32 -------- d-----w- C:\FR-files
    2010-02-27 14:56 . 2010-02-27 15:28 -------- d-----w- C:\WinFileReplace
    2010-02-23 21:22 . 2010-02-23 21:22 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
    2010-02-04 20:27 . 2010-02-04 20:27 14336 ----a-w- c:\windows\system32\spnpinst.exe
    2010-02-04 20:27 . 2010-02-04 20:27 8192 ----a-w- c:\windows\system32\spdwnwxp.exe
    2010-02-04 20:27 . 2010-02-04 20:27 67072 ----a-w- c:\windows\system32\rdshost.exe
    2010-02-04 20:27 . 2010-02-04 20:27 85504 ----a-w- c:\windows\system32\makecab.exe
    2010-02-04 20:26 . 2010-02-04 20:26 49664 ----a-w- c:\windows\system32\mshta.exe
    2010-02-04 20:26 . 2010-02-04 20:26 818688 ----a-w- c:\windows\system32\mmc.exe
    2010-02-04 20:26 . 2010-02-04 20:26 289280 ----a-w- c:\windows\system32\fxssvc.exe
    2010-02-04 20:26 . 2010-02-04 20:26 259072 ----a-w- c:\windows\system32\fxscover.exe
    2010-02-04 20:26 . 2010-02-04 20:26 143360 ----a-w- c:\windows\system32\fxsclnt.exe
    2010-02-04 20:26 . 2010-02-04 20:26 180224 ----a-w- c:\windows\system32\dwwin.exe
    2010-02-04 20:26 . 2010-02-04 20:26 249856 ----a-w- c:\windows\system32\drmupgds.exe
    2010-02-04 20:25 . 2010-02-04 20:25 87552 ----a-w- c:\windows\system32\dllcache\muisetup.exe
    2010-02-04 20:25 . 2010-02-04 20:25 85504 ----a-w- c:\windows\system32\diantz.exe
    2010-02-04 20:25 . 2010-02-04 20:25 71680 ----a-w- c:\windows\system32\blastcln.exe
    2010-02-04 20:21 . 2010-02-04 20:21 210432 ----a-w- c:\windows\system32\accwiz.exe
    2010-02-04 20:21 . 2010-02-04 20:21 67584 ----a-w- c:\windows\system32\alg.exe
    2010-02-04 20:20 . 2010-02-04 20:20 114688 ----a-w- c:\windows\system32\iexpress.exe
    2010-02-04 20:19 . 2010-01-22 19:36 495616 ----a-w- c:\windows\system32\logonui.exe
    2010-02-04 20:19 . 2010-02-04 20:19 124928 ----a-w- c:\windows\system32\net1.exe
    2010-02-04 20:19 . 2010-02-04 20:19 31744 ----a-w- c:\windows\system32\ntsd.exe
    2010-02-04 20:14 . 2010-02-04 20:21 176128 ----a-w- c:\windows\regedit.exe
    2010-02-04 20:14 . 2010-02-04 20:21 73216 ----a-w- c:\windows\notepad.exe
    2010-02-04 20:14 . 2004-08-19 15:09 1036288 ----a-w- c:\windows\system32\dllcache\explorer.exe
    2010-02-04 20:14 . 2004-08-19 15:09 1036288 ----a-w- c:\windows\Explorer.EXE
    2010-02-04 20:13 . 2010-02-04 20:13 18432 ----a-w- c:\windows\system32\ups.exe
    2010-02-04 20:13 . 2010-02-04 20:19 42496 ----a-w- c:\windows\system32\net.exe
    2010-02-04 20:13 . 2010-02-04 20:13 69632 ----a-w- c:\windows\system32\odbcconf.exe
    2010-02-04 20:12 . 2010-02-04 20:12 91136 ----a-w- c:\windows\system32\notepad.exe
    2010-02-02 18:41 . 2010-02-02 18:41 -------- d-----w- c:\documents and settings\All Users\Application Data\CA
    2010-02-02 18:39 . 2010-02-02 18:39 -------- d-----w- c:\program files\CA Anti-Spyware 2009
    2010-02-02 17:50 . 2010-02-02 18:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-02-02 17:48 . 2010-02-02 17:50 -------- d-----w- c:\program files\Spybot - Search & Destroy (1.6.2.46 fr)
    2010-02-02 16:37 . 2010-02-02 16:37 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2010-02-01 17:56 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-01-31 18:10 . 2010-02-26 19:54 -------- d-----w- c:\program files\Avira AntiVir Personal free (9.0.0.74 fr)
    2010-01-31 17:56 . 2010-01-31 17:56 -------- d-----w- c:\program files\WinStart Manager
    2010-01-31 17:55 . 2010-01-31 18:06 -------- d-----w- c:\program files\WinStart Manager (1.7.0.0 uk)

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-27 23:52 . 2009-12-18 17:04 -------- d-----w- c:\program files\WinRAR (3.91 fr)
    2010-02-26 20:01 . 2008-12-22 19:13 -------- d-----w- c:\program files\CheckPoint
    2010-02-26 19:59 . 2008-12-22 19:13 96 ----a-w- c:\windows\system32\pdfl.dat
    2010-01-30 15:31 . 2010-01-30 15:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware (1.44 fr)
    2010-01-25 19:30 . 2010-01-25 19:30 -------- d-----w- c:\documents and settings\LAFAGE PATRICK\Application Data\Malwarebytes
    2010-01-25 19:30 . 2010-01-25 19:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-01-24 18:33 . 2010-01-24 18:33 -------- d-----w- c:\program files\RegSeeker (1.55 fr)
    2010-01-23 08:53 . 2010-01-23 08:53 49152 ----a-w- c:\windows\system32\verclsid.exe
    2010-01-23 08:53 . 2010-01-23 08:53 131072 ----a-w- c:\windows\system32\ati2evxx.exe
    2010-01-23 08:53 . 2006-10-18 18:00 249856 ----a-w- c:\windows\system32\drmupgds.exe.VIR
    2010-01-23 08:53 . 2006-09-28 16:56 146432 ----a-w- c:\windows\system32\WudfHost.exe.VIR
    2010-01-23 08:53 . 2005-06-05 07:41 46592 ----a-w- c:\windows\system32\xpsp1hfm.exe
    2010-01-23 08:53 . 2002-10-29 08:48 98304 ----a-w- c:\windows\system32\atiiprxx.exe
    2010-01-23 08:53 . 2002-10-29 08:48 28672 ----a-w- c:\windows\system32\Ati2mdxx.exe
    2010-01-23 08:53 . 2001-07-09 09:50 176128 ----a-w- c:\windows\system32\NeroCheck.exe
    2010-01-23 01:15 . 2006-10-18 18:00 17408 ----a-w- c:\windows\system32\wpdshextautoplay.exe
    2010-01-23 01:15 . 2002-10-29 08:46 77824 ----a-w- c:\windows\system32\wmpstub.exe
    2010-01-23 01:14 . 2006-10-18 19:58 8704 ----a-w- c:\windows\system32\wdfmgr.exe
    2010-01-23 01:13 . 2006-10-18 19:58 8704 ----a-w- c:\windows\system32\uwdf.exe
    2010-01-23 01:12 . 2002-10-29 08:46 15872 ----a-w- c:\windows\system32\taskman.exe
    2010-01-23 01:11 . 2004-08-19 23:10 21504 ----a-w- c:\windows\system32\spupdwxp.exe.VIR
    2010-01-23 01:11 . 2004-08-19 23:10 8192 ----a-w- c:\windows\system32\spdwnwxp.exe.VIR
    2010-01-23 01:11 . 2004-08-19 23:10 32768 ----a-w- c:\windows\system32\slrundll.exe
    2010-01-23 01:09 . 2002-10-29 08:45 52736 ----a-w- c:\windows\system32\migpwd.exe
    2010-01-23 01:08 . 2004-08-19 23:09 20992 ----a-w- c:\windows\system32\faxpatch.exe.VIR
    2010-01-23 01:07 . 2002-10-29 08:45 20480 ----a-w- c:\windows\system32\cliconfg.exe
    2010-01-22 23:15 . 2010-01-22 23:15 28253993 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_01_23_00_14_44_full.dmp.zip
    2010-01-22 20:41 . 2002-10-29 08:46 135168 ----a-w- c:\windows\system32\wscript.exe
    2010-01-22 20:41 . 2004-08-19 23:10 34304 ----a-w- c:\windows\system32\wscntfy.exe.VIR
    2010-01-22 20:41 . 2002-10-29 08:46 32768 ----a-w- c:\windows\system32\wpnpinst.exe
    2010-01-22 20:41 . 2002-10-29 08:46 32256 ----a-w- c:\windows\system32\wpabaln.exe
    2010-01-22 20:41 . 2002-10-29 08:46 5632 ----a-w- c:\windows\system32\winver.exe
    2010-01-22 20:41 . 2002-10-29 08:46 438784 ----a-w- c:\windows\system32\wiaacmgr.exe
    2010-01-22 20:41 . 2002-10-29 08:46 66560 ----a-w- c:\windows\system32\wextract.exe
    2010-01-22 20:41 . 2002-10-29 08:46 295424 ----a-w- c:\windows\system32\vssvc.exe
    2010-01-22 20:40 . 2002-10-29 08:46 18432 ----a-w- c:\windows\system32\ups.exe.VIR
    2010-01-22 20:40 . 2002-10-29 08:46 16896 ----a-w- c:\windows\system32\upnpcont.exe
    2010-01-22 20:40 . 2002-10-29 08:46 44544 ----a-w- c:\windows\system32\tscupgrd.exe
    2010-01-22 20:39 . 2002-10-29 08:46 13312 ----a-w- c:\windows\system32\tracert.exe
    2010-01-22 20:39 . 2002-10-29 08:46 99328 ----a-w- c:\windows\system32\telnet.exe
    2010-01-22 20:39 . 2002-10-29 08:46 143360 ----a-w- c:\windows\system32\taskmgr.exe
    2010-01-22 20:39 . 2002-10-29 08:46 107520 ----a-w- c:\windows\system32\sysocmgr.exe
    2010-01-22 20:39 . 2002-10-29 08:46 14848 ----a-w- c:\windows\system32\stimon.exe
    2010-01-22 20:39 . 2002-10-29 08:46 684032 ----a-w- c:\windows\system32\sstext3d.scr
    2010-01-22 20:39 . 2002-10-29 08:46 14336 ----a-w- c:\windows\system32\ssstars.scr
    2010-01-22 20:39 . 2002-10-29 08:46 610304 ----a-w- c:\windows\system32\sspipes.scr
    2010-01-22 20:39 . 2002-10-29 08:46 18944 ----a-w- c:\windows\system32\ssmyst.scr
    2010-01-22 20:39 . 2002-10-29 08:46 47104 ----a-w- c:\windows\system32\ssmypics.scr
    2010-01-22 20:39 . 2002-10-29 08:46 20992 ----a-w- c:\windows\system32\ssmarque.scr
    2010-01-22 20:38 . 2002-10-29 08:46 393216 ----a-w- c:\windows\system32\ssflwbox.scr
    2010-01-22 20:38 . 2002-10-29 08:46 708608 ----a-w- c:\windows\system32\ss3dfo.scr
    2010-01-22 20:38 . 2002-10-29 08:46 19968 ----a-w- c:\windows\system32\ssbezier.scr
    2010-01-22 20:33 . 2002-10-29 08:46 13824 ----a-w- c:\windows\system32\savedump.exe
    2010-01-22 20:33 . 2002-10-29 08:46 14336 ----a-w- c:\windows\system32\runonce.exe
    2010-01-22 20:33 . 2002-10-29 08:46 78336 ----a-w- c:\windows\system32\rtcshare.exe
    2010-01-22 20:33 . 2002-10-29 08:46 15872 ----a-w- c:\windows\system32\rsh.exe
    2010-01-22 20:33 . 2002-10-29 08:46 14848 ----a-w- c:\windows\system32\rexec.exe
    2010-01-22 20:33 . 2002-10-29 08:46 12288 ----a-w- c:\windows\system32\regsvr32.exe
    2010-01-22 20:33 . 2002-10-29 08:46 53248 ----a-w- c:\windows\system32\reg.exe
    2010-01-22 20:33 . 2002-10-29 08:46 67072 ----a-w- c:\windows\system32\rdshost.exe.VIR
    2010-01-22 20:32 . 2002-10-29 08:46 13824 ----a-w- c:\windows\system32\rdsaddin.exe
    2010-01-22 20:32 . 2002-10-29 08:46 23040 ----a-w- c:\windows\system32\rcp.exe
    2010-01-22 20:32 . 2002-10-29 08:46 57344 ----a-w- c:\windows\system32\rasphone.exe
    2010-01-22 20:32 . 2002-10-29 08:46 35840 ----a-w- c:\windows\system32\rcimlby.exe
    2010-01-22 20:32 . 2002-10-29 08:46 20992 ----a-w- c:\windows\system32\qprocess.exe
    2010-01-22 20:29 . 2004-08-19 23:10 9728 ----a-w- c:\windows\system32\proxycfg.exe
    2010-01-22 20:29 . 2002-10-29 08:46 50688 ----a-w- c:\windows\system32\proquota.exe
    2010-01-22 20:29 . 2002-10-29 08:46 109568 ----a-w- c:\windows\system32\progman.exe
    2010-01-22 20:29 . 2004-08-19 23:10 49152 ----a-w- c:\windows\system32\powercfg.exe.VIR
    2010-01-22 20:29 . 2002-10-29 08:46 19456 ----a-w- c:\windows\system32\ping.exe
    2010-01-22 20:29 . 2002-10-29 08:46 15872 ----a-w- c:\windows\system32\perfmon.exe
    2010-01-22 20:27 . 2002-10-29 08:45 6144 ----a-w- c:\windows\system32\msdtc.exe
    2010-01-22 20:26 . 2002-10-29 08:45 21504 ----a-w- c:\windows\system32\fontview.exe
    2010-01-22 20:26 . 2004-08-19 23:09 43520 ----a-w- c:\windows\system32\fltmc.exe
    2010-01-22 20:26 . 2002-10-29 08:45 29184 ----a-w- c:\windows\system32\findstr.exe
    2010-01-22 20:26 . 2002-10-29 08:45 45568 ----a-w- c:\windows\system32\extrac32.exe
    2010-01-22 20:26 . 2002-10-29 08:45 16896 ----a-w- c:\windows\system32\expand.exe
    2010-01-22 20:26 . 2002-10-29 08:45 180224 ----a-w- c:\windows\system32\dwwin.exe.VIR
    2010-01-22 20:26 . 2002-10-29 08:45 17920 ----a-w- c:\windows\system32\dvdupgrd.exe
    2010-01-22 20:26 . 2002-10-29 08:45 10752 ----a-w- c:\windows\system32\dumprep.exe
    2010-01-22 20:26 . 2002-10-29 08:45 83456 ----a-w- c:\windows\system32\dpvsetup.exe.VIR
    2010-01-22 20:26 . 2002-10-29 08:45 18432 ----a-w- c:\windows\system32\dpnsvr.exe
    2010-01-22 20:25 . 2002-10-29 08:45 30208 ----a-w- c:\windows\system32\dplaysvr.exe.VIR
    2010-01-22 20:25 . 2002-10-29 08:45 15872 ----a-w- c:\windows\system32\dmremote.exe
    2010-01-22 20:25 . 2002-10-29 08:45 225280 ----a-w- c:\windows\system32\dmadmin.exe
    2010-01-22 20:25 . 2002-10-29 08:45 167936 ----a-w- c:\windows\system32\diskpart.exe
    2010-01-22 20:25 . 2002-10-29 08:45 85504 ----a-w- c:\windows\system32\diantz.exe.VIR
    2010-01-22 20:25 . 2002-10-29 08:45 82432 ----a-w- c:\windows\system32\dfrgfat.exe
    2010-01-22 20:25 . 2002-10-29 08:45 25088 ----a-w- c:\windows\system32\defrag.exe.VIR
    2010-01-22 20:24 . 2002-10-29 08:45 73216 ----a-w- c:\windows\system32\magnify.exe
    2010-01-22 20:24 . 2002-10-29 08:46 50176 ----a-w- c:\windows\system32\utilman.exe
    2010-01-22 20:24 . 2002-10-29 08:46 216576 ----a-w- c:\windows\system32\osk.exe
    2010-01-22 20:24 . 2002-10-29 08:46 367616 ----a-w- c:\windows\system32\tourstart.exe.VIR
    2010-01-22 20:24 . 2002-10-29 08:45 144384 ----a-w- c:\windows\system32\mobsync.exe
    2010-01-22 20:24 . 2002-10-29 08:45 400896 ----a-w- c:\windows\system32\cmd.exe
    2010-01-22 20:24 . 2002-10-29 08:45 170496 ----a-w- c:\windows\system32\imapi.exe.VIR
    2010-01-22 20:20 . 2002-10-29 08:45 31744 ----a-w- c:\windows\system32\ddeshare.exe
    2010-01-22 20:20 . 2002-10-29 08:45 98304 ----a-w- c:\windows\system32\cscript.exe
    2010-01-22 20:20 . 2002-10-29 08:45 27648 ----a-w- c:\windows\system32\conime.exe
    2010-01-22 20:20 . 2002-10-29 08:45 65536 ----a-w- c:\windows\system32\cmstp.exe
    .

    ------- Sigcheck -------

    [-] 2008-04-14 . 02DA31AB433A6C1110A736C85701DECA . 13824 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\wscntfy.exe

    [-] 2008-04-14 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ctfmon.exe

    c:\windows\System32\wscntfy.exe ... manque !!
    c:\windows\System32\ctfmon.exe ... manque !!
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2009-12-23 69632]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2002-10-29 83360]
    Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2002-10-29 49152]
    WinStart Manager.lnk - c:\program files\WinStart Manager (1.7.0.0 uk)\WinStart Manager.exe [2009-12-1 753664]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
    2009-12-23 21:23 53248 ----a-w- c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyStartUp10.0]
    2009-12-23 21:23 270336 ----a-w- c:\program files\Microsoft Money\System\Activation.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2010-01-22 21:41 1696256 ----a-w- c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    2009-01-26 14:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy (1.6.2.46 fr)\TeaTimer.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "65533:TCP"= 65533:TCP:Services
    "52344:TCP"= 52344:TCP:Services
    "2479:TCP"= 2479:TCP:Services
    "8330:TCP"= 8330:TCP:Services

    R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [15/04/2005 17:29 21344]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-01 22:54
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
    @DACL=(02 0000)
    @SACL=

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{13A7995E-7D8F-45B4-9C77-819265225763}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:00000001
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer Spectrum Analyzer DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{95037DA1-6ED9-4B27-8CFF-9AD3DFB0B2F2}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:fffffffb
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer SRSWow DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{974BF3BF-C9AE-4476-8003-5FE544DF458C}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:fffffffe
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer Video Processing DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{B2DBA270-9F49-4513-AC13-76496D6EBA3A}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:00000002
    "AutoInsert"=dword:00000000
    "Name"="Speaker Enhancement DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{D01BC8E2-70AD-4976-9612-21B37ED5C8E8}]
    @DACL=(02 0000)
    @SACL=
    "Priority"=dword:00000003
    "AutoInsert"=dword:00000001
    "Name"="WMPlayer Equalizer DMO"

    [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Player\CDData]
    @DACL=(02 0000)
    .
    Heure de fin: 2010-03-01 22:57:28
    ComboFix-quarantined-files.txt 2010-03-01 21:57
    ComboFix2.txt 2010-02-26 20:27

    Avant-CF: 45 027 385 344 octets libres
    Après-CF: 45 005 688 832 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    - - End Of File - - 0776C8105ADC3FC8C9E6ED7DB414EFD2
    --------------------------------------------------------------------

    Tout s'est bien passé, y compris l'installation de la console de récupération.

    Je te souhaite une bonne nuit. A +. Jack.

    did71
     Posté le 01/03/2010 à 23:50 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
      Astucien

    Bonsoir jack,

    recommence cette procédure:

    • Télécharge WinFileReplace de Loup Blanc sur ton Bureau,
    • Double-clique sur le fichier téléchargé,
    • Choisis la langue d'utilisation (1 : français),
    • Le programme se lance et vérifie le service pack de XP.
    • Le bloc-note s'ouvre. Indiquer ceci dans la fenêtre du bloc-note :

    c:\windows\system32\logonui.exe
    c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\wscntfy.exe

    c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ctfmon.exe

    • Fermer le bloc-note et valider en enregistrant les changements.
    • Le service Pack correspondant à la version de XP est alors téléchargé. Cela peut prendre un peu de temps selon le débit de la connexion.
    • Il faut ensuite accepter les conditions du CLUF.
    • Confirmer la restauration du fichier en cliquant sur "o" et "entrée".
    • Confirmer en appuyant sur "o" et "entrée" pour provoquer le remplacement des fichiers au redémarrage.
    • Un rapport va s'ouvrir au redémarrage en indiquant si la procédure a réussi.
    • Editer ce rapport sur le forum.

    ensuite donne moi ta messagerie par MP!

    a+



    Modifié par did71 le 01/03/2010 23:52
    Jack-2010
     Posté le 02/03/2010 à 19:28 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Bonsoir "did71",

    je viens de réexécuter la procédure "WinFileReplace" de Loup Blanc dont voici le rapport ci-dessous ...
    .....................................................................
    WinFileReplace - ver : 1.1.0 - by Loup blanc

    ---------------------------
    Microsoft Windows XP
    Service Pack 2
    Fran‡ais
    ---------------------------
    Contrôle du fichier téléchargé :
    MD5 recherchée : 3d69b05e454ff7fce91670d4e3e9f473
    sp2.000 MD5 : 3d69b05e454ff7fce91670d4e3e9f473
    ---------------------------

    ============ Comparaison des fichiers avant remplacement ============

    ---------
    Les fichiers
    "c:\WINDOWS\system32\logonui.exe" MD5 : 815f56fea5380f37b7884a0058e73c23
    "c:\WINDOWS\system32\logonui.exe" MD5 : 815f56fea5380f37b7884a0058e73c23
    et
    "C:\FR-files\logonui.exe" MD5 : b6b5575166d532956979db02a51f2fa2
    "C:\FR-files\logonui.exe" MD5 : b6b5575166d532956979db02a51f2fa2
    sont différents...
    -----------

    Les fichiers
    "c:\WINDOWS\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\wscntfy.exe" MD5 : 02da31ab433a6c1110a736c85701deca
    "c:\WINDOWS\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\wscntfy.exe" MD5 : 02da31ab433a6c1110a736c85701deca
    et
    "C:\FR-files\wscntfy.exe" MD5 : 8558905ba81f6efaaf9667139bb117dd
    "C:\FR-files\wscntfy.exe" MD5 : 8558905ba81f6efaaf9667139bb117dd
    sont différents...
    -----------

    Les fichiers
    "c:\WINDOWS\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ctfmon.exe" MD5 : 59dc5bb82e4c8e0b3eadcfdbc44ba6e4
    "c:\WINDOWS\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ctfmon.exe" MD5 : 59dc5bb82e4c8e0b3eadcfdbc44ba6e4
    et
    "C:\FR-files\ctfmon.exe" MD5 : 64e41e8fee655b03e3f19ded21ba5118
    "C:\FR-files\ctfmon.exe" MD5 : 64e41e8fee655b03e3f19ded21ba5118
    sont différents...
    -----------


    ============ Comparaison des fichiers après remplacement ============

    -----------
    Les fichiers
    "c:\WINDOWS\system32\logonui.exe" MD5 : b6b5575166d532956979db02a51f2fa2
    et
    "C:\FR-files\logonui.exe" MD5 : b6b5575166d532956979db02a51f2fa2
    sont identiques...

    "c:\WINDOWS\system32\logonui.backup" présent...

    Remplacement réussi
    -----------

    Les fichiers
    "c:\WINDOWS\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\wscntfy.exe" MD5 = 02da31ab433a6c1110a736c85701deca
    et
    "C:\FR-files\wscntfy.exe" MD5 = 8558905ba81f6efaaf9667139bb117dd
    sont différents...

    Echec du remplacement
    -----------

    Les fichiers
    "c:\WINDOWS\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ctfmon.exe" MD5 = 59dc5bb82e4c8e0b3eadcfdbc44ba6e4
    et
    "C:\FR-files\ctfmon.exe" MD5 = 64e41e8fee655b03e3f19ded21ba5118
    sont différents...

    Echec du remplacement
    -----------

    ======= Fin du rapport =======
    .....................................................................

    j'ai comme l'impression que tout ne s'est pas correctement passé ...

    Merci encore de ton aide. A +. Jack.

    Publicité
    Pages : [1] 2 ... Fin
    Page 1 sur 2 [Fin]

    Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

    Vous n'avez pas de compte ? Créez-en un gratuitement !


    Les bons plans du moment PC Astuces

    Tous les Bons Plans
    211,70 €Disque dur externe Western Digital Elements Desktop USB 3.0 12 To à 211,70 € livré
    Valable jusqu'au 16 Juillet

    Amazon Royaume-Uni propose actuellement le disque dur externe Western Digital Elements Desktop USB 3.0 12 To à 179,99 £. Avec la conversion en euros et la livraison en France, le disque dur vous reviendra à  211,70 € livré. On le trouve ailleurs à partir de 260 €. Ce disque dur dispose d'un grande capacité de stockage (12 To) et d'une connectique USB 3.0 qui vous offrira des transferts rapides. Il est compatible USB 2.0. Une très bonne affaire. Notez que le disque dur n'est pas soudé et que vous pouvez le récupérer pour le mettre dans un PC, un NAS, ...

    Vous pouvez utiliser votre compte Amazon France sur Amazon UK et il n'y a pas de douane.


    > Voir l'offre
    949,99 €PC Portable 15,6 pouces Lenovo Legion Y540 (Core i5, 16 Go, SSD 512 Go, RTX 2060 6 Go) à 949,99 €
    Valable jusqu'au 12 Juillet

    Cdiscount fait une promotion sur le PC portable Lenovo Legion Y540 (15IRH) dédié aux joueurs qui passe à 949,99 € au lieu de 1400 €. Ce PC portable très bien équipé  possède un écran 15,6 pouces LED Full HD, un processeur Intel Core i5-9300H, 16 Go de RAM, un SSD de 512 Go et une carte graphique GeForce RTX 2060 6 Go dédiée qui avalera tous vos jeux sans broncher. Windows n'est pas fourni, vous pouvez le trouver en OEM à 14,90 €


    > Voir l'offre
    76,49 €Tablette Vankyo 8 pouces (HD IPS, Quad-core, 2 Go RAM, 32 Go, Android 9) à 76,49 €
    Valable jusqu'au 14 Juillet

    Amazon fait une promotion sur la tablette Vankyo 8 pouces qui passe à 76,49 € livrée gratuitement alors qu'on la trouve habituellement à 99 €. Cette tablette possède un écran 8 pouces HD IPS (1280x800), un processeur quad-core à 1,3 Ghz, 2 Go de RAM, 32 Go de stockage extensible par MicroSD, le GPS, le WiFi, le bluetooth et tourne sous Android 9. Idéale comme tablette d'appoint pour lire des films, naviguer sur Internet, jouer à de petits jeux, écouter de la musique, lire des livres..


    > Voir l'offre

    Sujets relatifs
    à l'aide, Virus Fast Disk sous windows xp
    copie d'un anti-virus recommandé par Windows
    Comment defragmenter sous windows 7 familiale.
    Comment réinstaller des application métro sous Windows 8
    pc bloque au démarrage windows 7 (virus?)
    Windows Version Installer. Virus?
    Impossible d'installer Avast sous windows XP
    virus (?) faisant buguer le texte + M.A.J. impossible de windows
    Virus qui a pris le controle de explorer windows 7
    Sessions adminstrateur / utilisateur sous Windows 7
    Plus de sujets relatifs à virus "virut" sur un PC sous Windows XP SP2
     > Tous les forums > Forum Sécurité