Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] - Antivirus bloqué par un virus ????

srcdidou

Par srcdidou
dans Analyses et éradication malwares

 Partager

Messages recommandés

srcdidou Junior Member

srcdidou

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Mon ordinateur a pris un virus et (comme un c....) j'ai oublié de noter le nom de celui-ci.

 

Voici ce qui ce passe :

 

1 - Je n'ai plus accès à mon poste de travail

2 - Je ne peux pas ouvrir mon antivirus (AVG)

3 - Dès que je tappe les mots "virus, antivirus, configuration ou termes dans le genre", la page se ferme

4 - Les anti-virus en lignes ne marchent pas non-plus

 

Le problème c'est qu'etant donner que je n'ai plus d'antivirus, bien évidemment, je me suis pris Sasser (normalement, je pourrais le virer facilement mais là..... bien bloquer !! ).

 

Complément d'info, les logiciels ouverts avant la catastrophe :

- Emule

- Wamp (important de souligner qu'il se bloque dès que sasser s'affiche)

- Nvdia

- AVG

 

Mon OS est Win 2000 SP4 que je met à jour régulièrement.

 

Quelqu'un voit-il le nom que pourrais avoir ce (ou ces) virus ?

Comment le supprimer ?

Dois-je envisager le suicide tout de suite ?

 

Merci de vos réponses

Modifié par srcdidou

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut scrdidou et bienvenue :P

 

Bon je dois quand même te dire que si tu n'as pas de données importantes à récupérer sur le pc, le plus simple serait encore de formater!

Ceci dit, si tu veux essayer de nettoyer le pc, on t'aidera avec plaisir :P (parce que le formatage n'est pas notre tasse de thé!)mais il y a peut être du boulot d'après ta description!

Complément d'info, les logiciels ouverts avant la catastrophe :

- Emule

La réponse est là... pas de morale, mais juste pour te faire prendre conscience que les logiciels P2P sont une plaie au niveau sécurité!! un peu de lecture instructive ici =>

http://forum.zebulon.fr/index.php?showtopic=85544

 

Si tu veux te lancer,commence par poster un rapport hijackthis stp =>

  • Télécharger la dernière version d'HijackThis
     
  • Installation et utilisation d'HijackThis=>
  • Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
    Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  • Renomme le fichier HijackThis.exe en scrdidou.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
  • Arrêter tous les programmes en cours et fermer toutes les fenêtres
     
  • Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  • Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

Modifié par charles ingals
srcdidou Junior Member

srcdidou

Posté(e)
  • Auteur
Posté(e)

Merci pour la réponse.

 

Malheureusement pour moi, j'ai pas mal de données à récupérées donc le formatage est une option que je souhaiterais éviter.

 

Je ferais la détéction ce week end et je vous post tous ca. (ca va être chaud quand même puisque je n'ai pas accès à Zeb à cause des mots qu'il bloque?)

 

Merci en tous cas et je vous tiens au courant

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

ouaip ca va pas être évident! il y a certains logiciels et utilitaires qu'il va falloir télécharger : tu devras le faire d'un autre pc sur une clé usb si besoin est.

Stp poste en + un rapport comme ceci =>

 

- Télécharge chercher.zip sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
  • Un nouveau dossier chercher va être créé
  • Ouvre le et double-clic sur chercher.cmd
  • Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
  • Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
  • A nouveau menu Edition / copier
  • Dans un nouveau message ici, faire un clic droit / coller

N'oublie pas de lire le petit topic sur le p2p :P:P

srcdidou Junior Member

srcdidou

Posté(e)
  • Auteur
Posté(e)

Bonjour amis informatologues !

 

Cette fois, on y est !

 

Premièrement, le rapport HiJackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:15:37, on 30/08/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\System32\wdfmngr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Microsoft SQL Server\MSSQL$WHATSUP\Binn\sqlservr.exe

C:\WINNT\system32\jconsole.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

C:\WINNT\System32\vmnat.exe

C:\WINNT\wordpad.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\vmnetdhcp.exe

C:\Program Files\Ipswitch\WhatsUp Professional\NMService.exe

C:\WINNT\system32\mshost32.exe

C:\WINNT\system32\wkssvr.exe

C:\WINNT\system32\glossary.exe

C:\Documents and Settings\didou\Bureau\hijackthis\srcdidou.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,wkssvr.exe

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [RBot v2 with NetAPI exploit traded with billgates I gave my mother Greetz - OG - Bluehell Irc Server] C:\WINNT\system32\glossary.exe

O4 - HKLM\..\RunServices: [sun Java Console for Windows NT & XP] jconsole.exe

O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - HKCU\..\Run: [mssp3] C:\WINNT\system32\mshost32.exe

O4 - HKCU\..\RunServices: [MS Java for Windows XP & NT] javanet.exe

O4 - HKCU\..\RunServices: [Ms Java for Windows 98, NT, XP & ME] msjavaxps.exe

O4 - HKCU\..\RunServices: [sun Java Console for Windows NT & XP] jconsole.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Startup: WampServer.lnk = C:\wamp\wampserver.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/download/2006/c...eInstall_fr.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1129000147313

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - C:\WINNT\system32\msc.cpl

O21 - SSODL: msp.cpl - {E21B5E20-DE35-11CF-9C87-157900512701} - C:\WINNT\system32\msp.cpl

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: HttpsV2 - Unknown owner - C:\WINNT\System32\wdfmngr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Ipswitch WhatsUp Engine - Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421 - C:\Program Files\Ipswitch\WhatsUp Professional\NMService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINNT\system32\3.tmp (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\System32\vmnat.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe

O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)

O23 - Service: WhatsUp Gold Syslog - Ipswitch, Inc., 81 Hartwell Ave, Lexington MA 02421 - C:\Program Files\WhatsUp\IPSyslog.exe

O23 - Service: Microsoft Corporation (Windows Wordpad) - Unknown owner - C:\WINNT\wordpad.exe

 

Ensuite le fichier récupéré par chercher.cmd :

 

C:\WINNT\alcrmv.exe |Realtek Semiconductor Corp. |04/06/2005 19:26:37

C:\WINNT\alcupd.exe |Realtek Semiconductor Corp. |04/06/2005 19:26:37

C:\WINNT\BJPSUNST.EXE |CANON INC. |01/07/2005 18:26:58

C:\WINNT\Calceuro.exe |Euro-Information |25/11/2005 12:22:57

C:\WINNT\GREUninstall.exe |COMPANY |04/06/2005 15:47:13

C:\WINNT\is-6PIE5.exe |COMPANY |25/06/2006 19:35:09

C:\WINNT\IsUn040a.exe |InstallShield Software Corporation, Inc. |10/04/2006 22:49:51

C:\WINNT\IsUn040c.exe |InstallShield Software Corporation |04/06/2005 15:44:07

C:\WINNT\IsUninst.exe |InstallShield Software Corporation |06/11/2005 15:58:17

C:\WINNT\iun6002.exe |Indigo Rose Corporation |10/04/2006 23:11:48

C:\WINNT\MIDIDEF.EXE |Creative Technology Ltd |22/04/2006 11:35:58

C:\WINNT\MozillaUninstall.exe |COMPANY |04/06/2005 15:47:21

C:\WINNT\NPSExec.exe |Electronic Arts |06/11/2005 15:58:23

C:\WINNT\PATCH.EXE |Trend Micro Inc. |13/08/2005 03:08:51

C:\WINNT\PSCONV.EXE |COMPANY |22/04/2006 11:35:58

C:\WINNT\READREG.EXE |Creative Technology Limited |23/11/2005 22:15:41

C:\WINNT\runtsckl.exe |Trend Micro Inc. |09/06/2004 16:56:06

C:\WINNT\SOUNDMAN.EXE |Realtek Semiconductor Corp. |04/06/2005 19:26:40

C:\WINNT\tsc.exe |Trend Micro Inc. |13/08/2005 03:09:28

C:\WINNT\twunk_16.exe |Twain Working Group |28/08/1998 03:36:50

C:\WINNT\twunk_32.exe |Twain Working Group |15/12/1999 00:31:20

C:\WINNT\uneng.exe |Roxio |05/06/2005 13:37:36

C:\WINNT\UnGins.exe |COMPANY |05/06/2005 14:41:23

C:\WINNT\uninst.exe |InstallShield Corporation, Inc. |08/10/2005 01:02:22

C:\WINNT\UNINST32.EXE |Dritek System Inc. |16/05/2003 10:37:34

C:\WINNT\unvise32.exe |MindVision Software |24/05/2005 12:38:43

C:\WINNT\Updreg.EXE |Creative Technology Ltd. |23/11/2005 22:16:27

C:\WINNT\videostream.exe |Viscom Software www.viscomsoft.com |14/07/2004 20:06:56

C:\WINNT\vsnpstd.exe |COMPANY |23/04/2006 13:42:36

C:\WINNT\wordpad.exe |COMPANY |24/08/2006 22:30:38

C:\WINNT\Worms.exe |Macromedia, Inc. |04/02/2006 02:07:52

 

Bon courage !!!!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut srcdidou :P

 

Le pc est bien infecté!! l'infection est plutôt du type collante! fais moi plaisir: vas jusqu'au bout de la procédure que je te prépare .(il me faut un peu de temps!!)

@+ tard pour le big nettoyage :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

Donc comme je te disait précédemment, la difficulté consiste dans le fait que tu vas certainement être bloqué dès que tu vas essayer de télécharger un utilitaire de désinfection!! Le mieux est de passer par un autre pc, et de les mettre sur une clé usb.

 

On va commencer par tenter de s'occuper de ca =>

1 - Je n'ai plus accès à mon poste de travail

2 - Je ne peux pas ouvrir mon antivirus (AVG)

3 - Dès que je tappe les mots "virus, antivirus, configuration ou termes dans le genre", la page se ferme

4 - Les anti-virus en lignes ne marchent pas non-plus

 

Il y a peu être des restrictions qui ont été émises : crée un fichier comme ceci =>

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code")

cd %systemdrive%\
If not exist lsafiles MkDir lsafiles
regedit /a /e lsafiles\1.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
regedit /a /e lsafiles\2.txt HKEY_CURRENT_USER\Software\Microsoft\OLE
regedit /a /e lsafiles\3.txt HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
regedit /a /e lsafiles\4.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
regedit /a /e lsafiles\5.txt HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
regedit /e /a lsafiles\6.txt HKEY_USERS\DEFAULT\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA
regedit /a /e lsafiles\7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"
regedit /a /e lsafiles\8.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center"
Regedit /a /e lsafiles\9.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Regedit /a /e lsafiles\10.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Regedit /a /e lsafiles\11.txt HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WindowsFirewall
Regedit /a /e lsafiles\12.txt HKEY_CURRENT_USER\SOFTWARE\Policies\WindowsFirewall
regedit /a /e lsafiles\13.txt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
regedit /a /e lsafiles\14.txt HKEY_LOCAL_MACHINE\SYSTEM\Services\SharedAccess
regedit /a /e lsafiles\15.txt HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Copy lsafiles\*.txt = %systemdrive%\lsa.txt
rmdir /s /q lsafiles
Notepad %systemdrive%\lsa.txt
del /q %systemdrive%\lsa.txt

-Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:inspect.bat

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes.

 

* Voici ce à quoi doit ressembler l'icone du fichier .bat que tu viens de créer:

fichierbatch4aw.gif

Si ce n'est pas le cas, recommence!

 

* Double clique sur le fichier inspect.bat pour qu'il s'exécute.Une fenêtre va s'ouvrir rapidement: c'est normal! Un document texte va s'ouvrir, copie/colle l'intégralité de son contenu dans ta prochaine réponse.

 

-Télécharge Zebrestore,met le dans un dossier:

http://telechargement.zebulon.fr/233-zeb-restore.html

-Lance Zebrestore et coche les cases suivantes :

*Sites de confiance et sensibles

*Fichier Hosts

et clique sur le bouton "Restaurer". Quitte le programme.

Après ca, essaie de télécharger les utilitaires suivants :

 

-Télécharge la dernière version de Killbox et met le sur ton bureau.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge zone alarm:(le parefeu de windows a été désactivé)

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

-Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.Ne lance pas de scan maintenant!

 

Si ca ne marche pas pour Ewido, fais le depuis une clé usb : dans ce cas il faudra aussi télécharger les mises à jour indépendemment => http://download.ewido.net/ewido-signatures4-full-current.exe

 

Installe d'abord Ewido, puis double clique sur le fichier ewido-signatures4-full-current.exe : il faut l'installer dans le répertoire ou se trouve Ewido (par Défaut: C:\Program Files\ewido anti-spyware 4.0 )

 

Fais déjà ca et dis moi ce qu'il en est :P Bien entendu ne surfe plus avec ce pc!! ca ne ferait qu'aggraver les choses!!

Modifié par charles ingals
srcdidou Junior Member

srcdidou

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Résultat du fichier "inspect.bat"

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\OLE]

"Pentium Driver Support"="Intel.exe"

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa]

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]

"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\

14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\

00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\

00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\

05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\

5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\

5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00

"EnableDCOM"="N"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]

"System.EnterpriseServices.Thunk.dll"=""

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

00

"Bounds"=hex:00,30,00,00,00,20,00,00

"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\

6e,00,65,00,6c,00,00,00,00,00

"LsaPid"=dword:0000011c

"SecureBoot"=dword:00000001

"auditbaseobjects"=dword:00000000

"crashonauditfail"=dword:00000000

"fullprivilegeauditing"=hex:00

"lmcompatibilitylevel"=dword:00000001

"restrictanonymous"=dword:00000001

"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00

"SecureLsaInterfaceSupport"=dword:00000001

"restrictanonymoussam"=dword:00000001

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\AccessProviders]

"ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,00,\

54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00,76,\

00,69,00,64,00,65,00,72,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]

"ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Data]

"Pattern"=hex:78,6b,bb,3e,ed,80,00,f1,6e,ae,b4,a7,ac,d4,03,15,34,37,35,31,62,\

66,32,39,00,fd,06,00,01,00,00,00,b0,00,00,00,bc,00,00,00,58,fa,06,00,65,82,\

5a,78,04,00,00,00,b4,fd,06,00,ac,fd,06,00,de,87,c0,6e

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\GBG]

"GrafBlumGroup"=hex:fc,f0,39,a7,5a,0e,a5,8f,6c

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\JD]

"Lookup"=hex:3a,3d,73,bd,5d,cb

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos]

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains]

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0]

"Auth132"="IISSUBA"

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Skew1]

"SkewMatrix"=hex:4d,df,81,03,ce,11,ae,cc,a5,02,4a,da,50,78,86,07

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SSO]

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SSO\Passport1.4]

"SSOURL"="http://www.passport.com"

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SspiCache]

"Time"=hex:40,ff,5a,fe,0a,69,c5,01

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]

"Name"="Digest"

"Comment"="Digest SSPI Authentication Package"

"Capabilities"=dword:00004050

"RpcId"=dword:0000ffff

"Version"=dword:00000001

"TokenSize"=dword:0000ffff

"Time"=hex:00,d7,1a,a9,41,50,c2,01

"Type"=dword:00000031

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]

"Name"="DPA"

"Comment"="DPA Security Package"

"Capabilities"=dword:00000037

"RpcId"=dword:00000011

"Version"=dword:00000001

"TokenSize"=dword:00000300

"Time"=hex:00,60,e9,a9,82,46,bf,01

"Type"=dword:00000031

 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]

"Name"="MSN"

"Comment"="MSN Security Package"

"Capabilities"=dword:00000037

"RpcId"=dword:00000012

"Version"=dword:00000001

"TokenSize"=dword:00000300

"Time"=hex:00,e7,7c,ad,82,46,bf,01

"Type"=dword:00000031

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"antivirusdisablenotify"=dword:00000001

"antivirusoverride"=dword:00000001

"firewalldisablenotify"=dword:00000001

"firewalldisableoverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

"CDRAutoRun"=dword:00000000

"_NoDriveTypeAutoRun"=dword:00000095

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\

00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\WINNT\\system32\\3.tmp"="C:\\WINNT\\system32\\3.tmp:*:Enabled:Microsoft ® Windows Vista/NT Runtime Compatibility Service"

"C:\\WINNT\\system32\\javanet.exe"="C:\\WINNT\\system32\\javanet.exe:*:Enabled:MS Java for Windows XP & NT"

"C:\\WINNT\\system32\\msjavaxps.exe"="C:\\WINNT\\system32\\msjavaxps.exe:*:Enabled:Ms Java for Windows 98, NT, XP & ME"

"C:\\WINNT\\system32\\jconsole.exe"="C:\\WINNT\\system32\\jconsole.exe:*:Enabled:Sun Java Console for Windows NT & XP"

"C:\\WINNT\\system32\\wkssvr.exe"="C:\\WINNT\\system32\\wkssvr.exe:*:Enabled:Windows Kernel System Service"

"C:\\WINNT\\system32\\glossary.exe"="C:\\WINNT\\system32\\glossary.exe:*:Enabled:RBot v2 with NetAPI exploit traded with billgates I gave my mother Greetz - OG - Bluehell Irc Server"

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"DoNotAllowXPSP2"=dword:00000001

"DoNotAllowXPSP3"=dword:00000001

 

Bonne nouvelle, je peux accéder au forum en passant par firefox.

Par contre, ewido ne veux pas s'installer....

 

Merci encore pour votre aide !! ^^

srcdidou Junior Member

srcdidou

Posté(e)
  • Auteur
Posté(e)

Re-bonjour,

 

J'ai installer zone alarme et ca a débloqué AVG. J'ai pu virer des 124 virus que j'avais pris et maintenant, je n'ai plus de problème.

 

Merci encore pour votre aide !!!!!!!

 

Didier

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...