× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Démarrage Windows XP impossible !Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
fiche
  Posté le 15/12/2010 @ 17:57 
Aller en bas de la page 
Astucien

Bonjour,

Au mois de mai dernier, j'avais procédé au nettoyage du PC d'un de mes frères (https://forum.pcastuces.com/sujet.asp?f=25&s=54865). Le PC était redevenu normal.

Avaient été installés : Antivir Personal ; MBAM. J'avais laissé l'utilisation du compte administrateur XP mais avait créé une icone pour lancer Firefox avec stripmyright (histoire de ne pas trop les perturber avec un compte limité : mais j'aurais sans doute mieux fait d'être plus sévère !!!)

Mes recommandations ne semblent pas avoir été suivies (mises à jour Antivir au lancement du PC, analyse Antivir et MBAM une fois par mois minimum, ne pas cliquer n'importe où...).

Il semblerait qu'il y ait eu de nouvelles infections il y a plusieurs semaines (messages antivir qui n'arretaient pas...) sans que l'origine soit connue et qu'il y ait réparation !!!!!

Maintenant, sur son PC, windows ne démarre plus. L'écran Windows apparait avec la barre horizontale de chargement mais au bout de 10 secondes, le PC redémarre avec juste avant un écran sur lequel apparait 1 à 2 lignes impossibles à lire (moins d'une seconde).

Il ne semble pas qu'il s'agisse d'un problème matériel car le PC a démarré avec un live CD Toutou Linux (que je conserve précieusement en dépannage). Toutou Linux n'a fait aucune remarque lors de son chargement et j'ai pu accéder au disque dur (pour voir si je trouvais les documents personnels : photos..., à récupérer éventuellement s'ils ne sont pas vérolés).

Le mode sans échec (avec ou sans réseau) et le démarrage avec la dernière configuration windows qui fonctionnait sont hors services. Il n'a pas de CD de restauration Windows car il s'agit d'un PC d'occasion ancien acquis avec son travail.

La seule solution pour tenter un nettoyage (sans doute très difficile) : un live CD linux Drweb ou Antivir (https://forum.pcastuces.com/analyse_antivirus_par_un_live_cd-f31s36.htm).

- Lequel des deux serait le plus efficace ?

- Voyez-vous une autre solution (à part formater le disque sous Toutou et installer Toutou linux : il dispose de 512 Mo de RAM de mémoire) ?

Merci d'avance. Il n'y a pas urgence.

Ajout du 17/12 :

En naviguant dans les fichiers du disque dur grâce à Toutou Linux, j'ai constaté avec la date des rapports de scan d'Avira (log) que l'infection est arrivée le 03/11 (2 alertes) puis le 04 (4 alertes) et le 05 (10 alertes). Puis accès à windows impossible. Malheureusement, ces fichiers log ne peuvent être ouverts par Linux pour obtenir plus de détails.

J'ai pu accéder à tout le disque dur sauf à windows/system32 : l'affichage des fichiers commence puis écran noir qui nécessite de relancer Toutou Linux. Le problème m'a donc l'air sérieux.

N'ayant pas de graveur de CD à disposition en ce moment, je n'ai pas encore essayé de LiveCD Avira ou Drweb mais j'ai peur qu'il coince sur system32 !!!

Publicité
Cbi1moi
 Posté le 23/12/2010 à 13:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

tu télécharge UBCD ici :

http://www.pcastuces.com/logitheque/ultimatebootcd.htm

tu boot sur le CD et tu selectionne windows XP NTLDR (ou quelque chose d'équivalent), celà devrait lancer ton XP.

Si XP démarre tente une restauration système à une date avant les problèmes.

Sur le CD tu trouveras aussi des outils anti-virus etc...

Une autre solution consiste à te procurer un CD d' XP et à lancer une installation pour réparer.

Tu suis la procédure d' installation jusqu'à ce que le système trouve une installation existante(pas de R au tout début mais INSTALLATION !) , puis tu fais R pour réparer l'installation existante.

ATTENTION la clé XP valide te sera demandée.

Tu retrouveras tes dossiers dans la nouvelle installation.

En éspérant que celà poura t'aider...

fiche
 Posté le 10/02/2011 à 10:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Je réactive ce sujet car ce PC portable est à nouveau en face de moi et j'ai pu graver chez moi les live cd suivants :

- Antivir rescue system (je ne retrouve plus son rapport d'hier !!!)

- DrWeb live cd (il ne se charge pas et semble resté bloqué : une analyse n'a pas pu être lancée)

- OTLPE : l'analyse OTL démarre mais semble bloquée au bout de quelques secondes.

Les virus responsables du problème de non démarrage du compte utilisateur Windows XP semblent avoir été nettoyés par Avira (2 trojans détectés dans : winlogon.exe et explorer.exe qui ont été renommés par Avira, faute d'avoir été réparés).

En attendant de tenter de nettoyer le pc, j'avais inséré un cdlive de Toutou Linux lui permettant d'accéder à internet...

Malheureusement, 2 mois plus tard, il a fait n'importe quoi en cliquant n'importe où (à mon avis, il a du tenter une installation de Toutou car j'ai trouvé des fichiers grub, menu.lst...) et résultat : Windows ne se lance plus du tout. Il est donc impossible de savoir si le nettoyage Antivir a été utile.

Désormais, il s'affiche ceci après le démarrage du Bios :

Try (hd0,0) : NTFS : No grldr

Try (hd,1) : invalid or null

Try (hd0,2) : invalid or null

Try (hd0,3) : invalid or null

BIOS : Drive = 0 x 0 , H=0, S=0

Try (fd0) : invalid or null

Error : Cannot find grldr in all drives

Que pensez-vous de ce cas désespéré ?

Ultimate boot CD qui était mentionné dans un précédent message ou OTLPE peuvent-ils être utiles pour pouvoir à nouveau choisir windows au démarrage comme OS ?

Merci d'avance.



Modifié par fiche le 11/02/2011 11:39
pear
 Posté le 10/02/2011 à 11:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Tout se passe comme si une installation Linux avait écrasé le mbr(Master boot Record).

Suivez les conseils de Cbi1moi

ou demandez le déplacement vers "Les mains dans le cambois"




Modifié par pear le 10/02/2011 11:18
pcastuces
 Posté le 10/02/2011 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans un forum plus adéquat.

Vous pouvez continuer la discussion à la suite.

A bientôt.
fiche
 Posté le 10/02/2011 à 17:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Le fichier grldr qui était manquant a été retrouvé dans la corbeille (recycle). Je l'ai remis à son emplacement d'origine à la racine de C:

Le fichier menu.lst (qui était lui aussi dans la corbeille et que j'ai déplacé provisoirement dans un répertoire personnel) contient les lignes suivantes :

# menu.lst produced by grb4dosconf
color white/blue black/cyan white/black cyan/black
timeout 10
default 0

title Grub4Dos commandline\n(for experts only)
commandline

title Reboot computer
reboot

title Halt computer
halt

Le lancement de windows n'apparait pas dans les choix possibles. Je vais replacer ce fichier menu.lst à la racine de C:

J'y ai rajouté ces lignes :

title Windows XP
find --set-root /ntldr
chainloader /ntldr

Désormais, à l'affichage de Grub, je peux choisir Windows XP. Le logo Windows et la barre de chargement apparaissent environ 5 secondes. Puis écran bleu avec 2 lignes qui s'affichent 1 seconde (donc impossible à lire) et reboot vers le BIOS...

Il me semble donc être revenu à la situation de décembre.

Je vais relancer une analyse Avira live CD pour identifier les fichiers vérolés sans doute responsables de ce problème de démarrage de Windows.

Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set: 8.2.4.162
VDF Version: 7.11.3.40
Scan start time: Thu Feb 10 19:15:47 2011
configuration file: /etc/avira/scancl.conf
WARNING: [Max file size reached] /media/Devices/hda1/Documents and Settings/xxx/Mes documents/virus dec 10/OOo_3.2.1_Win_x86_install_fr.exe
WARNING: [Archive is invalid or corrupt] /media/Devices/hda1/Program Files/WinRAR/rarnew.dat

ALERT: [Worm/IrcBot.HF] /media/Devices/hda1/System Volume Information/_restore{09D28E4A-FD2F-4BD3-813B-D97214AF5457}/RP1/A0000092.exe.vir <<< Contains signature of the worm WORM/IrcBot.HF [renamed]

ALERT: [Worm/IrcBot.HF] /media/Devices/hda1/System Volume Information/_restore{09D28E4A-FD2F-4BD3-813B-D97214AF5457}/RP1/A0000091.exe.vir <<< Contains signature of the worm WORM/IrcBot.HF [renamed]

ALERT: [TR/Patched.Gen] /media/Devices/hda1/WINDOWS/explorer.exe.vir <<< Is the Trojan horse TR/Patched.Gen [renamed]

ALERT: [TR/Patched.Gen] /media/Devices/hda1/WINDOWS/system32/winlogon.exe.vir <<< Is the Trojan horse TR/Patched.Gen [renamed]
WARNING: [Unexpected end of file] /media/Devices/hda1/WINDOWS/BricoPacks/Vista Inspirat 2/iColorFolder/uninstall.exe

WARNING: [Unexpected end of file] /media/Devices/hda1/WINDOWS/system32/Macromed/Flash/uninstall_plugin.exe

WARNING: [Max file size reached] /media/Devices/hdc/initrd.gz

Statistics :
Directories............... : 5212
Archives.................. : 7156
Files..................... : 199654
Infected.............. : 4
Renamed........... : 4
Warnings.............. : 5
Suspicious............ : 0
Infections................ : 4

Les fichiers winlogon.exe et explorer.exe ayant été renomés par Avira, ils ne peuvent plus être lancés. Les récupérer sur un autre PC windows XP serait-il suffisant pour relancer Windows ?

Le CD d'ultimatebootCD gravé cet après midi ne semble pas fonctionner. J'arrive sur un prompt et c'est tout.



Modifié par fiche le 10/02/2011 19:04
fiche
 Posté le 11/02/2011 à 11:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Ce sujet ne serait-il pas plus adapté dans le forum Windows XP ? (devant le peu d'enthousiasme soulevé ici) ?

Merci.

Cbi1moi
 Posté le 12/02/2011 à 00:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir fiche,

Je t'avais conseillé une procédure avec UBCD, en fait je me suis plantée car cette procédure s'effectue avec HIRENS BOOT CD (V 10.1).

Tu boot sur le CD et, dans ADVANCED BOOT OPTIONS, tu défile jusqu'à boot from hard drive WINDOWS XP NTLDR

Voilà, bon courage.

{#}

fiche
 Posté le 12/02/2011 à 10:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

J'ai regravé hier après midi chez un voisin le CD d'UBCD qui a, cette fois-ci, bien fait apparaitre le menu mais pas de choix relatif à Windows comme indiqué en décembre.

Je comprends mieux maintenant car s'il ne s'agit pas du bon cd live, je ne risque pas de trouver ce qu'il faut !

Je n'y connais pas grand chose, mais puisque les fichiers winlogon.exe et explorer.exe ont été renommés par Avira (car infectés), il me semble logique que windows plante au démarrage (il ne trouve plus ses petits).

Je vais récupérer ces 2 fichiers sains sur un PC XP cet après midi. On verra bien si cela lui permet de redémarrer. Si oui, je lancerai ma batterie d'antinuisibles pour vérifier qu'Avira a bien tout repéré. Si non, mystère !!!

Malheureusement, je ne dispose pas de CD windows XP car il s'agit d'un PC acquis avec son entreprise.

Par contre, est-ce légal de réinstaller Windows XP sur ce vieux Dell à partir de CD Windows qui ont été préalablement installés sur un autre PC ?

Publicité
fgondard
 Posté le 12/02/2011 à 11:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

fiche a écrit :

Par contre, est-ce légal de réinstaller Windows XP sur ce vieux Dell à partir de CD Windows qui ont été préalablement installés sur un autre PC ?

Bonjour,

Aucun problème si tu disposes du numéro de licence de celui-ci. Avec tous les CD autonomes qui existent il y a bien un qui inclut un outil permettant de retrouver ce numéro. Il doit être quelque part dans le registre mais, si c'est bien le cas pas en clair; comme sous Win 9x. Faire attention à bien prendre le CD correspondant à la bonne version, pro ou familial.

Quand tu disposeras de toutes les billes, commence comme il te l'a été suggéré par une ré-installation par dessus. On ne perd rien des données personnelles ni des logiciels installés mais il faudra repasser par la case activation et refaire un coup de Windows Update. Faire un CD intégrant le SP2 ou le SP3 peut faire gagner du temps. Malheureusement bien que l'on soit sûr de retrouver un Windows propre, s'il y a des bébêtes quelque part elles ne seront pas supprimées et pourront de nouveau faire des dégâts.

Pour l'avenir, si ce n'est déjà fait, partitionne le disque de manière à n'avoir sur la partition système que l'OS et les logiciels supplémentaires installés. Si toutes les données sont sur une autre partition on est beaucoup plus serein en cas de nécessité de repartir à zéro (formatage et installation). Cette partition doit contenir les données personnelles mais aussi tout les fichiers d'installation pour lesquels on ne dispose pas d'un CD.

Les données personnelles ne se limitent pas au dossier Mes documents. Il faut penser également à ses favoris, ses modèles Word ou Excel, les catalogues divers gérés par certains logiciels et, si on utilise un logiciel de messagerie type OE, ses fichiers de messagerie ainsi que le carnet d'adresses. Beaucoup de logicels ont un plusieurs fichiers de données utilisateur qui par défaut sont stockés dans son propre répertoire sous Program Files. Il faut penser à changer ces défauts pour aller mettre tout ça sur la partition données.

Pour l'avenir je te suggère aussi de prévoir un compte installateur distinct du compte utilisateur, ce dernier étant un compte limité. Si c'est XP pro tu peux même faire en sorte que ce compte installateur n'apparaisse pas dans la liste mais soit néanmoins facilement accessible. Ce n'est pas une vrai barrière mais cela évite toutefois de faire quelques bêtises. Mettre un mot de passe ne servirait à rien puisque le retrouver ou le supprimer est à la portée d'un gamin.

Autre suggestion, une fois tout remis d'équerre, système et logiciels, faire une image de la partition et la stoker sur la partition données. En cas de problème grave on règle çà en un quart d'heure, juste le temps de restaurer.

FG



Modifié par fgondard le 12/02/2011 12:11
fiche
 Posté le 13/02/2011 à 09:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour à tous,

Miracle ! La simple copie des 2 fichiers manquants permet de relancer Windows XP à partir du menu de Grub.

Ma priorité va donc être de le nettoyer à fond. Une fois les nuisibles éradiqués, je compte crééer un compte utilisateur limité et tenter de suivre les autres recommandations (partitionnement, image disque...) qui m'ont l'air un peu plus compliquées.

En tout cas, il revient de loin !

Je vais demander le transfert vers le forum Sécurité pour être supervisé dans la procédure de nettoyage.

Pour information, avec la vieille version de MBAM non mise à jour depuis des mois, il a été trouvé 3 anomalies. Je pense qu'il y en aura d'autres suite à mise à jour :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4149

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/02/2011 12:16:24
mbam-log-2011-02-12 (12-16-24).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118764
Temps écoulé: 11 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

fgondard
 Posté le 13/02/2011 à 10:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

C'est le moment de noter quelque part le n° de licence de ce Windows. Il y a des tas d'outils qui permettent de l'afficher dont Everest qu'il n'est jamais inutile d'installer.

Si c'est un XP pro et que tu ne veuilles pas que le nom de la session installateur (c'est ma dénomination pour ne pas confondre avec le compte nommé Administrateur installé par Windows) apparaisse dans l'écran d'accuei, voir ici. La machine démarrera automatiquement sur le compte limité.

FG

fiche
 Posté le 13/02/2011 à 10:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Noté pour Everest que je vais installer.

Pour l'instant, je suis en train de faire les MAJ Windows (21 !).

MBAM a été mis à jour.

La dernière version d'Antivir a refusé de s'installer. Je l'ai remplacé par Avast.

Pour commencer le grand nettoyage, le rapport ZHPDiag (il y a matière à désinfection !!!) :trop gros pour être collé ici. Il faut que j'attende d'être à nouveau sur le forum sécurité pour pouvoir le joindre.

fiche
 Posté le 13/02/2011 à 13:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ci-dessous, le rapport MBAM mis à jour :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5752

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/02/2011 13:06:32
mbam-log-2011-02-13 (13-06-32).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 156744
Temps écoulé: 14 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\IJKUK66HMN (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IJKUK66HMN (Trojan.FakeAlert) -> Value: IJKUK66HMN -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WindowsDriverControl (Trojan.Agent.Gen) -> Value: WindowsDriverControl -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\all users\documents\Server\server.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

fiche
 Posté le 13/02/2011 à 15:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Et un rapport de Kaspersky Virus Removal Tool :

Analyse automatique: terminée : il y a 5 minutes (évênements : 14, objets : 276323, durée : 01:20:59)
13/02/2011 14:37:36 Réparés: Trojan.Win32.Patched.kl C:\WINDOWS\system32\winlogon.exe.vir
13/02/2011 14:37:36 Réparés: Trojan.Win32.Patched.kl C:\WINDOWS\system32\winlogon.exe.vir
13/02/2011 14:18:39 Réparés: Trojan.Win32.Patched.kl C:\WINDOWS\explorer.exe.vir
13/02/2011 14:18:39 Réparés: Trojan.Win32.Patched.kl C:\WINDOWS\explorer.exe.vir
13/02/2011 14:53:38 Non réparés: HEUR:Trojan.Win32.Generic C:\Documents and Settings\xxx\Mes documents\Téléchargements\rkill.scr Ignoré par l'utilisateur
13/02/2011 14:50:00 Non réparés: HEUR:Trojan.Win32.Generic C:\Documents and Settings\xxx\Mes documents\Téléchargements\rkill.scr Ignoré par l'utilisateur
13/02/2011 13:48:59 Non réparés: HEUR:Trojan.Win32.Generic C:\Documents and Settings\xxx\Mes documents\Téléchargements\rkill.scr Ignoré par l'utilisateur
13/02/2011 13:40:07 Lancement de la tâche
13/02/2011 15:01:06 Fin de la tâche
13/02/2011 14:37:07 Détectés: Trojan.Win32.Patched.kl C:\WINDOWS\system32\winlogon.exe.vir
13/02/2011 14:17:21 Détectés: Trojan.Win32.Patched.kl C:\WINDOWS\explorer.exe.vir
13/02/2011 14:53:33 Détectés: HEUR:Trojan.Win32.Generic C:\Documents and Settings\xxx\Mes documents\Téléchargements\rkill.scr
13/02/2011 14:49:55 Détectés: HEUR:Trojan.Win32.Generic C:\Documents and Settings\xxx\Mes documents\Téléchargements\rkill.scr
13/02/2011 13:47:41 Détectés: HEUR:Trojan.Win32.Generic C:\Documents and Settings\xxx\Mes documents\Téléchargements\rkill.scr

Pour information, le dernier rapport MBAM ne montre pas de nuisibles :

13/02/2011 16:28:26
mbam-log-2011-02-13 (16-28-26).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133798
Temps écoulé: 15 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Et le rapport d'analyse AD-R :

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:31:14 le 13/02/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
xxx@D600 ( )

============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\xxx\Application Data\Mozilla\FireFox\Profiles\o1sviw9r.default\conduit

Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé trouvée: HKLM\Software\Classes\Toolbar.CT1708250
Clé trouvée: HKLM\Software\Conduit


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

Plugins\npRACtrl.dll (?)
Plugins\ractrlkeyhook.dll (?)
Searchplugins\fast.xml (hxxp://www.fastbrowsersearch.com/results/results.aspx)

-- C:\Documents and Settings\xxx\Application Data\Mozilla\FireFox\Profiles\o1sviw9r.default --
Extensions\isadmin@vdtsoftware.ffext (IsAdmin)
Extensions\{47d1d620-5e5b-11da-8cd6-0800200c9a66} (Acid Burn)
Extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3} (BetterPrivacy)
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\xxx\\Mes documents\\Téléchargements
Prefs.js - browser.startup.homepage, hxxp://www.orange.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF} - "MyStart Rechercher" (hxxp://mystart.magentic.com/?search={searchTerms}&loc=search_box)
HKCU_SearchScopes\{FD5C8625-A1DA-4308-95BA-B00401332D3D} - "Google" (hxxp://www.google.fr/search?hl=fr&q={searchTerms}+&meta=)
HKCU_Toolbar\WebBrowser|{EE5D279F-081B-4404-994D-C6B60AAEBA6D} (C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll)
HKLM_Toolbar|{EE5D279F-081B-4404-994D-C6B60AAEBA6D} (C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll)
HKLM_ElevationPolicy\3eae2cb5-a5b0-4744-a473-939a213c6151 - C:\Program Files\Free_Lunch_Design\Free_Lunch_DesignToolbarHelper.exe (x)
HKLM_ElevationPolicy\f570f0d8-8972-4c78-8121-2a8328b8d791 - C:\Program Files\Free_Lunch_Design\Free_Lunch_DesignToolbarHelper.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Fichiers communs\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_Extensions\{d9288080-1baa-4bc4-9cf8-a92d743db949} - "Run IMVU" (C:\Documents and Settings\xxx\Application Data\IMVUClient\imvu.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - "EpsonToolBandKicker Class" (C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll)
BHO\{EF9A3DEF-D65E-4706-869A-3CFDC02F93B0} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 13/02/2011 (1333 Octet(s))

Fin à: 16:32:00, 13/02/2011

============== E.O.F ==============


Et enfin le rapport de nettoyage AD-R :

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:35:47 le 13/02/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
xxx@D600 ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\xxx\Application Data\Mozilla\FireFox\Profiles\o1sviw9r.default\conduit

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé supprimée: HKLM\Software\Classes\Toolbar.CT1708250
Clé supprimée: HKLM\Software\Conduit


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

Plugins\npRACtrl.dll (?)
Plugins\ractrlkeyhook.dll (?)
Searchplugins\fast.xml (hxxp://www.fastbrowsersearch.com/results/results.aspx)

-- C:\Documents and Settings\xxx\Application Data\Mozilla\FireFox\Profiles\o1sviw9r.default --
Extensions\isadmin@vdtsoftware.ffext (IsAdmin)
Extensions\{47d1d620-5e5b-11da-8cd6-0800200c9a66} (Acid Burn)
Extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3} (BetterPrivacy)
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\xxx\\Mes documents\\Téléchargements
Prefs.js - browser.startup.homepage, hxxp://www.orange.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF} - "MyStart Rechercher" (hxxp://mystart.magentic.com/?search={searchTerms}&loc=search_box)
HKCU_SearchScopes\{FD5C8625-A1DA-4308-95BA-B00401332D3D} - "Google" (hxxp://www.google.fr/search?hl=fr&q={searchTerms}+&meta=)
HKCU_Toolbar\WebBrowser|{EE5D279F-081B-4404-994D-C6B60AAEBA6D} (C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll)
HKLM_Toolbar|{EE5D279F-081B-4404-994D-C6B60AAEBA6D} (C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll)
HKLM_ElevationPolicy\3eae2cb5-a5b0-4744-a473-939a213c6151 - C:\Program Files\Free_Lunch_Design\Free_Lunch_DesignToolbarHelper.exe (x)
HKLM_ElevationPolicy\f570f0d8-8972-4c78-8121-2a8328b8d791 - C:\Program Files\Free_Lunch_Design\Free_Lunch_DesignToolbarHelper.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Fichiers communs\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_Extensions\{d9288080-1baa-4bc4-9cf8-a92d743db949} - "Run IMVU" (C:\Documents and Settings\xxx\Application Data\IMVUClient\imvu.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - "EpsonToolBandKicker Class" (C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll)
BHO\{EF9A3DEF-D65E-4706-869A-3CFDC02F93B0} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 13/02/2011 (1512 Octet(s))
C:\Ad-Report-SCAN[1].txt - 13/02/2011 (4033 Octet(s))

Fin à: 16:36:28, 13/02/2011

============== E.O.F ==============

Toujours en attente de déplacement sur le forum Sécurité...



Modifié par fiche le 13/02/2011 16:43
fiche
 Posté le 13/02/2011 à 18:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Peut-on supprimer sans risque cette détection de Findykill ?


############################## | FindyKill V5.052 |

# User : xxx (Administrateurs) # D600
# Update on 23/10/2010 by El Desaparecido
# Start at: 18:01:11 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Pentium(R) M processor 1.60GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 37,25 Go (26,36 Go free) # NTFS
# D:\ # Disque CD-ROM

################## | Eléments infectieux |

C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.052 ! |

---------------------------------------------------------------------------------

Idem pour USBFIX :

############################## | UsbFix 7.039 | [Recherche]

Utilisateur: xxx (Administrateur) # D600 [ ]
Mis à jour le 09/02/2011 par El Desaparecido / C_XX
Lancé à 18:45:13 | 13/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]
RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 37 Go (26 Go libre(s) - 71%) [] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |


Présent! C:\WINDOWS\system32\winlogon.exe.vir
Présent! C:\WINDOWS\explorer.exe.vir

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{8bdb2460-17e4-11de-9d0f-000f1f9eea65}
Shell\AutoRun\Command = E:\start.exe
Shell\FramaKey\Command = E:\start.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

----------------------------------------------------------------

Pour information, l'analyse GMER ne montre aucune ligne en rouge.

----------------------------------------------------------------

Ci-dessous, les liens vers les rapports ZHPDiag

- ce matin (avant désinfection) :http://cjoint.com/data/0cns5Dih7FX.htm

- tout de suite (après désinfection MBAM, Kasper et AD-R) : http://cjoint.com/data/0cns6elG4g4.htm

Y aurait-il encore quelque chose à faire pour être certain que le nettoyage est terminé et le PC tout à fait propre ?



Modifié par fiche le 13/02/2011 19:04
pcastuces
 Posté le 13/02/2011 à 19:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces
Bonjour,

Le sujet a été déplacé par la modération dans un forum plus adéquat.

Vous pouvez continuer la discussion à la suite.

A bientôt.
Publicité
pear
 Posté le 13/02/2011 à 20:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

Sélectionner(Ctrl A et Ctrl C) toutes les lignes en vert ci dessous(et seulement elles)


O2 - BHO: (no name) - {EF9A3DEF-D65E-4706-869A-3CFDC02F93B0} Clé orpheline => Orphean Key not necessary
O23 - Service: FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe) - Clé orpheline => Crack, KeyGen, Keymaker - Possible Malware
O41 - Driver: (InCDPass) . (.Microsoft Corporation - IMAPI Kernel Driver.) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Fichier absent
O41 - Driver: (InCDRm) . (.Microsoft Corporation - IMAPI Kernel Driver.) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Fichier absent
[HKCU\Software\Titan Casino] => Online Games Casino
[HKLM\Software\Titan Casino] => Online Games Casino
O44 - LFC:[MD5.B96E679541FF6EA2E26C9BBCFF0DFA9D] - 13/02/2011 - 16:36:29 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [4142] => C_XX AdRemover Report
O44 - LFC:[MD5.09EF31EEB19A2A314C5557B208B867CD] - 13/02/2011 - 16:32:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[1].txt [4033] => C_XX AdRemover Scan Report
O47 - AAKE:Key Export SP - "\\ZPRO\FTP\Jeux PC\Quake 3 Arena\quake3.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => Fichier absent
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => IncrediMail
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IncMail.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => IncrediMail
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => IncrediMail
O47 - AAKE:Key Export SP - "C:\Documents and Settings\xxx\Application Data\C-76947-8457-2745\winmsngrn.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => Fichier absent
O47 - AAKE:Key Export SP - "C:\Documents and Settings\xxx\Application Data\S-3685-5437-5687\winsrvn.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => Fichier absent
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\logon.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- => Infection Diverse (adware.abox)
O64 - Services: CurCS - (.not file.) - afisicx Service (afisicx) .(.Pas de propriétaire - Pas de description.) - LEGACY_AFISICX => Infection Diverse (Legacy.Troj)
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(.Pas de propriétaire - Pas de description.) - LEGACY_MABIDWE => Infection Diverse (Trojan.Agent)
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Infection Diverse (Trojan.Dropper/Win-NV)
O64 - Services: CurCS - (.not file.) - 76817701 (76817701) .(.Pas de propriétaire - Pas de description.) - LEGACY_76817701 => Fichier absent
O64 - Services: CurCS - (.not file.) - 76817702 Boot Guard Driver (76817702) .(.Pas de propriétaire - Pas de description.) - LEGACY_76817702 => Fichier absent
O64 - Services: CurCS - F:\Far_Cry_2-Razor1911\[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING\FAH.exe (.not file.) - FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razo => Crack, KeyGen, Keymaker - Possible Malware
O64 - Services: CurCS - C:\DOCUME~1\xxx\LOCALS~1\Temp\pxtdapog.sys (.not file.) - pxtdapog (pxtdapog) .(.Pas de propriétaire - Pas de description.) - LEGACY_PXTDAPOG => Fichier absent
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_13.02.2011_14-16drv (setup_9.0.0.722_13.02.2011_14-16drv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUP_9.0.0.722_13.02.2011_14-16DRV => Fichier absent
O64 - Services: CurCS - (.not file.) - sopidkc Service (sopidkc) .(.Pas de propriétaire - Pas de description.) - LEGACY_SOPIDKC => Fichier absent
O64 - Services: CurCS - (.not file.) - tdctxte Service (tdctxte) .(.Pas de propriétaire - Pas de description.) - LEGACY_TDCTXTE => Fichier absent
O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Rechercher) - http://mystart.incredimail.com/?search={searchTerms}&loc=search_box => Incredimail Mystart
SS - | Auto 13/04/2008 0 | FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe) . (.Pas de propriétaire.) - => Crack, KeyGen, Keymaker - Possible Malware


Cliquez sur l'icone Zhpfix qui doit être sur votre bureau.ou
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Dans ZHPDiag, sur l'icôneimage
image
Collez (Ctrl V) les lignes vertes dans le cadre 1
Cliquez ensuite sur- image
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.
Cliquer sur "Tous" puis sur "Nettoyer" 2.
Acceptez de Redémarrer pour achever le nettoyage.
Un rapport apparait:
image
Copier-coller le rapport de suppression dans la prochaine réponse.
Si le rapport n'apparait pas,
Cliquer sur ce bouton:image
Si besoin(au cas où vous n'auriez pas l'icône zhpfix)
Télécharger ZHPFix de Nicolas Coolman sur le bureau.
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Suivre les instructions qui apparaissent à l'écran.
Lancer ZHPFix (laisser la case cochée)
Cliquer ensuite sur le H
Copier-coller (Ctrl C CTRL V) toutes les lignes en vert (et seulement elles) dans le cadre blanc
Cliquer sur "Tous" puis sur "Nettoyer".

fiche
 Posté le 13/02/2011 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Merci pour la prise en charge rapide ! J'utilise ZHPFix intégré à ZHP.

Rapport de ZHPFix 1.12.3235 par Nicolas Coolman, Update du 03/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-02-2011-20-29-32.txt
Run by xxx at 13/02/2011 20:29:32
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {EF9A3DEF-D65E-4706-869A-3CFDC02F93B0} Clé orpheline => Orphean Key not necessary => Clé supprimée avec succès
O23 - Service: FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe) - Clé orpheline => Crack, KeyGen, Keymak => Clé supprimée avec succès
O41 - Driver: (InCDPass) . (.Microsoft Corporation - IMAPI Kernel Driver.) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Fichier absent => Clé supprimée avec succès
O41 - Driver: (InCDRm) . (.Microsoft Corporation - IMAPI Kernel Driver.) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Fichier absent => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - afisicx Service (afisicx) .(.Pas de propriétaire - Pas de description.) - LEGACY_AFISICX => Infection Diverse (Legacy.Troj) => Clé absente
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(.Pas de propriétaire - Pas de description.) - LEGACY_MABIDWE => Infection Diverse (Trojan.Agent) => Clé absente
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Infection Diverse (Trojan.Dropper/Win-NV) => Clé absente
O64 - Services: CurCS - (.not file.) - 76817701 (76817701) .(.Pas de propriétaire - Pas de description.) - LEGACY_76817701 => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - 76817702 Boot Guard Driver (76817702) .(.Pas de propriétaire - Pas de description.) - LEGACY_76817702 => Fichier absent => Clé absente
O64 - Services: CurCS - F:\Far_Cry_2-Razor1911\[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING\FAH.exe (.not file.) - FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razo => Clé absente
O64 - Services: CurCS - C:\DOCUME~1\xxx\LOCALS~1\Temp\pxtdapog.sys (.not file.) - pxtdapog (pxtdapog) .(.Pas de propriétaire - Pas de description.) - LEGACY_PXTDAPOG => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_13.02.2011_14-16drv (setup_9.0.0.722_13.02.2011_14-16drv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUP_9.0.0.722_13.02.2011_14-16DRV => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - sopidkc Service (sopidkc) .(.Pas de propriétaire - Pas de description.) - LEGACY_SOPIDKC => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - tdctxte Service (tdctxte) .(.Pas de propriétaire - Pas de description.) - LEGACY_TDCTXTE => Fichier absent => Clé absente
O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Rechercher) - http://mystart.incredimail.com/?search={searchTerms}&loc=search_box => Incredimail Mystart => Clé supprimée avec succès
SS - | Auto 13/04/2008 0 | FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe) . (.Pas de propriétaire.) - => Clé absente

Après redémarrage du PC, le rapport ZHPFix sur le bureau :

Rapport de ZHPFix 1.12.3235 par Nicolas Coolman, Update du 03/01/2011
Fichier d'export Registre :
Run by xxx at 13/02/2011 20:29:32
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {EF9A3DEF-D65E-4706-869A-3CFDC02F93B0} Clé orpheline => Orphean Key not necessary => Clé supprimée avec succès
O23 - Service: FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe) - Clé orpheline => Crack, KeyGen, Keymak => Clé supprimée avec succès
O41 - Driver: (InCDPass) . (.Microsoft Corporation - IMAPI Kernel Driver.) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Fichier absent => Clé supprimée avec succès
O41 - Driver: (InCDRm) . (.Microsoft Corporation - IMAPI Kernel Driver.) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Fichier absent => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - afisicx Service (afisicx) .(.Pas de propriétaire - Pas de description.) - LEGACY_AFISICX => Infection Diverse (Legacy.Troj) => Clé absente
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(.Pas de propriétaire - Pas de description.) - LEGACY_MABIDWE => Infection Diverse (Trojan.Agent) => Clé absente
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Infection Diverse (Trojan.Dropper/Win-NV) => Clé absente
O64 - Services: CurCS - (.not file.) - 76817701 (76817701) .(.Pas de propriétaire - Pas de description.) - LEGACY_76817701 => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - 76817702 Boot Guard Driver (76817702) .(.Pas de propriétaire - Pas de description.) - LEGACY_76817702 => Fichier absent => Clé absente
O64 - Services: CurCS - F:\Far_Cry_2-Razor1911\[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING\FAH.exe (.not file.) - FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razo => Clé absente
O64 - Services: CurCS - C:\DOCUME~1\xxx\LOCALS~1\Temp\pxtdapog.sys (.not file.) - pxtdapog (pxtdapog) .(.Pas de propriétaire - Pas de description.) - LEGACY_PXTDAPOG => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_13.02.2011_14-16drv (setup_9.0.0.722_13.02.2011_14-16drv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUP_9.0.0.722_13.02.2011_14-16DRV => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - sopidkc Service (sopidkc) .(.Pas de propriétaire - Pas de description.) - LEGACY_SOPIDKC => Fichier absent => Clé absente
O64 - Services: CurCS - (.not file.) - tdctxte Service (tdctxte) .(.Pas de propriétaire - Pas de description.) - LEGACY_TDCTXTE => Fichier absent => Clé absente
O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Rechercher) - http://mystart.incredimail.com/?search={searchTerms}&loc=search_box => Incredimail Mystart => Clé supprimée avec succès
SS - | Auto 13/04/2008 0 | FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe (FAH@F:+Far_Cry_2-Razor1911+[RAZOR1911][WEB SEED] FAR CRY 2 CRACK - REAL 100% FULLY WORKING+FAH.exe) . (.Pas de propriétaire.) - => Clé absente

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "\\ZPRO\FTP\Jeux PC\Quake 3 Arena\quake3.exe" [Enabled] .(.) (.not file.) -- => Fichier absent => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImApp.exe" [Enabled] .(.) (.not file.) -- => IncrediMail => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IncMail.exe" [Enabled] .(.) (.not file.) -- => IncrediMail => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.) (.not file.) -- => IncrediMail => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\xxx\Application Data\C-76947-8457-2745\winmsngrn.exe" [Enabled] .(.) (.not file.) -- => Fichier absent => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\xxx\Application Data\S-3685-5437-5687\winsrvn.exe" [Enabled] .(.) (.not file.) -- => Fichier absent => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\logon.exe" [Disabled] .(.) (.not file.) -- => Infection Diverse (adware.abox) => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\ad-report-scan[1].txt => Supprimé et mis en quarantaine


========== Récapitulatif ==========
16 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan



Modifié par fiche le 13/02/2011 21:18
pear
 Posté le 13/02/2011 à 22:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Vous aviez posé questions concernant Finfykill et usbfix.

Supprimez sans souci ce qu'ils ont trouvé.

fiche
 Posté le 14/02/2011 à 07:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Ci-dessous, les rapports de suppression USBFIX et Findykill :

############################## | UsbFix 7.039 | [Suppression]

Utilisateur: xxx (Administrateur) # D600 [ ]
Mis à jour le 09/02/2011 par El Desaparecido / C_XX
Lancé à 07:51:29 | 14/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]
RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 37 Go (26 Go libre(s) - 71%) [] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\system32\winlogon.exe.vir
Supprimé! C:\WINDOWS\explorer.exe.vir
Supprimé! C:\Recycler\S-1-5-18
Supprimé! C:\Recycler\S-1-5-21-789336058-725345543-682003330-1003

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8bdb2460-17e4-11de-9d0f-000f1f9eea65}

################## | Listing |

[24/03/2009 - 21:36:05 | D ] C:\26f22c66a06b4e410165630d8df7ca
[26/09/2006 - 10:01:24 | N | 0] C:\AUTOEXEC.BAT
[15/05/2010 - 11:25:18 | RASHD ] C:\autorun.inf
[23/10/2008 - 10:56:41 | N | 212] C:\boot.ini
[05/08/2004 - 11:00:00 | N | 4952] C:\Bootfont.bin
[13/02/2011 - 17:55:01 | N | 826] C:\cleannavi.txt
[26/09/2006 - 10:01:24 | N | 0] C:\CONFIG.SYS
[24/03/2009 - 11:12:31 | D ] C:\DELL
[26/09/2006 - 09:50:46 | D ] C:\Documents and Settings
[26/09/2006 - 10:23:42 | D ] C:\drivers
[13/02/2011 - 18:01:17 | D ] C:\FyK
[13/02/2011 - 18:01:17 | N | 1199] C:\FyK.txt
[06/01/2011 - 07:21:45 | N | 217769] C:\grldr
[07/04/2009 - 11:41:59 | D ] C:\I386
[26/09/2006 - 10:01:24 | N | 0] C:\IO.SYS
[13/02/2011 - 12:01:57 | N | 20490] C:\JavaRa.log
[13/02/2011 - 17:59:24 | D ] C:\Lop SD
[13/02/2011 - 17:59:24 | N | 9038] C:\lopR.txt
[10/02/2011 - 17:40:53 | N | 289] C:\menu.lst
[09/02/2011 - 12:24:42 | D ] C:\Mes-dossiers
[26/09/2006 - 10:01:24 | N | 0] C:\MSDOS.SYS
[13/02/2011 - 17:55:01 | D ] C:\Navilog1
[05/08/2004 - 11:00:00 | N | 47564] C:\NTDETECT.COM
[20/05/2008 - 10:05:10 | N | 252240] C:\ntldr
[14/02/2011 - 07:46:13 | ASH | 792723456] C:\pagefile.sys
[13/02/2011 - 21:06:22 | N | 13030] C:\PDOXUSRS.NET
[13/02/2011 - 17:53:36 | D ] C:\Program Files
[26/09/2006 - 13:37:48 | D ] C:\Recycled
[14/02/2011 - 07:52:30 | SHD ] C:\RECYCLER
[01/10/2008 - 14:44:36 | N | 268] C:\sqmdata00.sqm
[15/11/2008 - 15:27:48 | N | 280] C:\sqmdata01.sqm
[15/11/2008 - 15:28:01 | N | 208] C:\sqmdata02.sqm
[17/11/2008 - 19:09:09 | N | 268] C:\sqmdata03.sqm
[17/11/2008 - 19:09:09 | N | 268] C:\sqmdata04.sqm
[17/11/2008 - 19:21:41 | N | 172] C:\sqmdata05.sqm
[14/03/2009 - 18:35:30 | N | 232] C:\sqmdata06.sqm
[01/10/2008 - 14:44:36 | N | 244] C:\sqmnoopt00.sqm
[15/11/2008 - 15:27:48 | N | 244] C:\sqmnoopt01.sqm
[15/11/2008 - 15:28:01 | N | 172] C:\sqmnoopt02.sqm
[17/11/2008 - 19:09:09 | N | 244] C:\sqmnoopt03.sqm
[17/11/2008 - 19:09:09 | N | 244] C:\sqmnoopt04.sqm
[17/11/2008 - 19:21:41 | N | 172] C:\sqmnoopt05.sqm
[14/03/2009 - 18:35:30 | N | 244] C:\sqmnoopt06.sqm
[13/02/2011 - 14:52:23 | SHD ] C:\System Volume Information
[18/12/2010 - 11:07:05 | N | 115683328] C:\ttl-431.sfs
[12/02/2011 - 11:55:17 | N | 1073741824] C:\ttlsave-moi.2fs
[14/02/2011 - 07:52:30 | D ] C:\UsbFix
[14/02/2011 - 07:52:36 | A | 982] C:\UsbFix.txt
[14/02/2011 - 07:52:29 | D ] C:\WINDOWS
[13/02/2011 - 20:29:32 | N | 43358] C:\ZHPExportRegistry-13-02-2011-20-29-32.txt

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_D600.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Findykill est resté bloqué à 40% sur un fichier images.zip de Libre office 3. J'ai interrompu son nettoyage.

Un dernier rapport ZHPDiag, au cas où : http://cjoint.com/data/0coiFkofXCX.htm

Je vais réactiver la restauration système et passer le compte utilisateur en limité.



Modifié par fiche le 14/02/2011 08:31
pear
 Posté le 14/02/2011 à 10:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Par précaution, faites un point de restauration qui permettra de revenir à la situation actuelle en cas de problème.

Télécharger sur le bureauOTM by OldTimer .
Double-clic sur OTM.exe pour le lancer.
Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur
Dans le cadre gauche, "Paste Instructions...."
image
* Copiez /Collez les lignes ci dessous) en vert:
:Services
afisicx
mabidwe
SSHNAS
pxtdapog
sopidkc
tdctxte

:reg
[-HKCU\Software\Titan Casino]
[-HKLM\Software\Titan Casino]

:Commands
[purity]
[emptytemp]
[Reboot]

Revenez dans OTM,
Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).
* Click le bouton rouge Moveit!
* Fermez OTM
Votre Pc va redémarrer.
Rendez vous dans le dossier C:\_OTM\MovedFiles ,
ouvrez le dernier fichier .log
Copiez/collez en le contenu dans votre prochaine réponse



Il y a un excellent moyen de ne pas surfer avec des droits administrateur sans avoir à créer un compte limité.

Tuto d'Ogu

Téléchargez StripMyRights (de Sysint)

* Dézippez-le et copiez-collez l'exécutable StripMyRights.exe (64ko) dans:
C:\Windows\System32.
* Ensuite supprimez l'archive
*Copiez/collez ce qui suiten vertdans le bloc notes,
sans ligne blanche au début.mais une à la fin
Fichier ->Enregistrez sous..
Clic sur bureau à gauche
Dans type de fichier->Tous les fichiers
Dans Nom-> regis.reg.
Allez sur le bureau
Cliquez droit sur le fichier ->fusionner
Acceptez la modification du Régistre:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]
"Debugger"="StripMyRights.exe /D /L N"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe]
"Debugger"="StripMyRights.exe /D /L N"


Redémarrez votre machine
StripMyRights est maintenant actif!
Il protégera votre navigateur contre l'installation de virus dans les dossiers vitaux de Windows

fiche
 Posté le 14/02/2011 à 15:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

J'avais déjà créé un raccourci pour Firefox et IE sécurisés avec Stripmyright mais cela n'a servi à rien car il s'est tout de même fait salement infecté en faisant n'importe quoi !

J'ai donc opté pour la solution radicale du compte limité XP qui devrait éviter les infections qui mettent en l'air Windows System... qu'elles viennent aussi bien de la navigation que de la messagerie... Au moins, il ne pourra pas installer des cochonneries.

Pour ce qui est d'OTM, je vais essayer de le faire à distance avec Teamviewer mais il faut être disponibles au même moment... C'est pas gagné.

Enfin, pour le nettoyage de Findykill qui semblait bloqué à 40% sur un fichier images.zip de Libre Office (j'ai attendu plus de 10 minutes), peut-on prévenir l'équipe qui s'occupe de son développement pour qu'elle voit si c'est normal et puisse améliorer le produit ?

Pour finir, hormis les quelques lignes prévues avec OTM, le PC est-il redevenu sain ? (une analyse rapide MBAM de ce matin n'a rien détecté).

Ajout du 18/02 : sujet marqué provisioirement comme résolu. Je terminerai le travail lorsque je serai de retour physiquement devant le PC d'ici 2 mois.



Modifié par fiche le 18/02/2011 22:48
fgondard
 Posté le 22/02/2011 à 16:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

J'ai vu ton MP. Continue sur le forum car tu auras plus d'avis.

À ma connaissance la gestion des disques sous XP ne permet pas de partionner un disque sans perte des données déjà présentes. Il faut utiliser un logiciel tiers. Chacun te ventera les mérites de celui qu'il utilise. Le meilleur c'est toujours celui avec lequel on est familiarisé.

Idem pour l'imageur.

Personellement j'utilise respectivement PartiionMagiq et Ghost qui sont loin d'être du dernier cri mais que j'ai et qui me suffisent (je n'ai pas de disques supérieurs à 80 Go et sous DOS j'ai l'impression de savoir ce que je fais). Je ne les conseillerai à personne.

Une image partition a beau être compressée, elle peut ne pas tenir sur un DVD et la relecture d'un disque optique gravé est quelquefois problèmatique. Alors pourquoi ne pas créer une partion dédiée sur le disque dur, quitte à la cacher après prise de l'image (avec l'outil de partitionnement) afin de limiter la tentation de virer le fichier. Autre solution, mettre cette image sur un DD externe à toi.

Faut-il prendre aussi une image de la partition données ? J'aurais tendance à dire chacun sa m... c'est à dire dans ton cas laisser ton fils se débrouiller et gérer seul d'éventuelles sauvegardes de ses données. Toi tu limites ton champ d'intervention à la remise en état de la partition système en cas de gros problème. Mais ceci n'est qu'un avis.

Pour un ami à 400 km de chez moi j'ai fait un CD boîte à outils du type décrit sur mon site (1er lien dans ma signature). J'y ai prévu une sauvegarde automatique de l'une ou l'autre de ses partitions via un bête menu DOS et je lui ai dit de crier au secours s'il avait besoin de restaurer. Ceci n'est qu'un exemple.

FG

fiche
 Posté le 06/04/2011 à 17:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Je réactive ce vieux sujet pour ultime vérification et nettoyage OTM demandé il y a près de 2 mois.

Rapport OTM :

All processes killed
========== SERVICES/DRIVERS ==========
Error: No service named afisicx was found to stop!
Service\Driver key afisicx not found.
Error: No service named mabidwe was found to stop!
Service\Driver key mabidwe not found.
Error: No service named SSHNAS was found to stop!
Service\Driver key SSHNAS not found.
Error: No service named pxtdapog was found to stop!
Service\Driver key pxtdapog not found.
Error: No service named sopidkc was found to stop!
Service\Driver key sopidkc not found.
Error: No service named tdctxte was found to stop!
Service\Driver key tdctxte not found.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Titan Casino\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Titan Casino\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 12521985 bytes
->Temporary Internet Files folder emptied: 3591393 bytes
->Java cache emptied: 379829 bytes
->FireFox cache emptied: 27557778 bytes
->Flash cache emptied: 456 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 147858 bytes
->Flash cache emptied: 405 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 82442 bytes
->Flash cache emptied: 405 bytes

User: xxx
->Temp folder emptied: 821738 bytes
->Temporary Internet Files folder emptied: 468246 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40920357 bytes
->Flash cache emptied: 1930525 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4249443 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 78315024 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 812917 bytes
RecycleBin emptied: 26749399 bytes

Total Files Cleaned = 189,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 04062011_163418

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

--------------

Toutes les dernières mises à jour ont été effectuées (Windows xp, Firefox 4, Avast 6, Java...) et du nettoyage effectué dans les programmes inutilisés.

Analyse MBAM aujourd'hui : RAS

Analyse Kaspersky Removal Tool : RAS

Analyse Findykill qui ne retrouve plus l'ancienne détection (qui avait donc du être supprimée malgré l'interruption du nettoyage il y a 2 mois)

Analyse ZHP ici : http://www.cijoint.fr/cjlink.php?file=cj201104/cijwGfT52w.txt

Merci d'avance pour votre analyse.

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
13,79 €Adaptateur USB 3.0 Ethernet Gigabit TP-Link UE300 à 13,79 €
Valable jusqu'au 06 Juillet

Amazon fait une promotion sur l'adaptateur USB 3.0 Ethernet Gigabit TP-Link UE300 qui passe à 13,79 € au lieu de 20 €. Cet adaptateur vous permettra de rajouter une prise Ethernet Gigabit à votre ordinateur portable (ou votre tablette via un adaptateur OTG) qui en est dépourvu.


> Voir l'offre
24,99 €Clé USB 3.0 Sandisk Ultra 128 Go à 24,99 €
Valable jusqu'au 07 Juillet

Amazon propose la clé USB Sandisk Ultra d'une capacité de 128 Go à 24,99 €. Cette clé USB 3.0 est compatible USB 2.0 et offre de bons débits d'environ 100 Mo/s en lecture et en écriture. Le connecteur est rétractable pour éviter qu'il prenne la poussière.


> Voir l'offre
14,90 €Windows 10 Pro 32/64 bits OEM à 14,90 €
Valable jusqu'au 06 Juillet

Le vendeur sérieux DIGITAL FR propose sur Amazon  la clé d'activation pour Windows 10 professionnel en français 32 bits / 64 bits à 14,90 €. Cette clé livrée par email fonctionne avec l'outil d'installation et de création de support de Microsoft que vous pouvez télécharger ici ou directement avec l'ISO de Windows 10 Pro. De quoi installer légalement Windows 10 Pro sur un PC. Pour en savoir plus sur l'achat et l'installation d'une clé OEM de Windows 10, suivez les indications de notre dossier pratique.


> Voir l'offre

Sujets relatifs
Démarrage Windows 7 Impossible
Démarrage Windows XP impossible !
Demarrage windows en mode sans échec seulement
mises à jour impossible pour windows 7
mises a jour windows impossible
Ecran figé sur Motherboard avant démarrage de windows
Impossible d'activer le pare feu windows (7)
Mise à jour impossible Windows defender 8.1
Problème de fermeture et de démarrage de Windows
Phénomènes observés au démarrage de Windows 7
Plus de sujets relatifs à Démarrage Windows XP impossible !
 > Tous les forums > Forum Sécurité