PC infecté "TR/Dldr.agen.ZV.1.B"

[Thanos]

salut

 

Ok SDFix a nettoyé le reste de l'infection. (mais il y en a une autre à éliminer! > Vundo).

Est ce que tu as ouvert et regardé ce fichier texte ? > C:\SDFix\Data.txt

Y as tu trouvé tes mots de passe ?

 

On continue comme ceci >

 

1) De la même manière que précédemment, désactive temporairement Antivir >

Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le à la fin de la procédure.

 

 

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/lxs2uy

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Poste ce rapport stp

[romano72]

Salut, désolé je n'ai pas pu me connecter plus tôt, voila le rapport combofix :

 

ComboFix 07-12-02.6 - LEDRU 2007-12-05 15:40:54.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.53 [GMT 1:00]

Running from: C:\Documents and Settings\LEDRU\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\LEDRU\Bureau\CFScript.txt

* Created a new restore point

 

FILE

C:\Documents and Settings\LEDRU\f.exe

C:\sqmdata15.sqm

C:\sqmnoopt15.sqm

C:\WINDOWS\system32\bduxtbei.ini

C:\WINDOWS\system32\birhhaml.ini

C:\WINDOWS\system32\bocxpwuv.ini

C:\WINDOWS\system32\hcknodft.ini

C:\WINDOWS\system32\irfyfmhc.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mvrbkhga.ini

C:\WINDOWS\system32\ogpapoit.ini

C:\WINDOWS\system32\pywgsvqc.dll

C:\WINDOWS\system32\qrqcucqw.ini

C:\WINDOWS\system32\qvcmipmg.ini

C:\WINDOWS\system32\ssqooml.dll

C:\WINDOWS\system32\svkyawut.dll

C:\WINDOWS\system32\vbzip10.dll

C:\WINDOWS\system32\vltbqvfo.ini

C:\WINDOWS\system32\wmfkagjo.ini

C:\WINDOWS\system32\wpyaqliu.ini

C:\WINDOWS\system32\yulphppy.ini

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\LEDRU\f.exe

C:\sqmdata15.sqm

C:\sqmnoopt15.sqm

C:\WINDOWS\system32\bduxtbei.ini

C:\WINDOWS\system32\birhhaml.ini

C:\WINDOWS\system32\bocxpwuv.ini

C:\WINDOWS\system32\hcknodft.ini

C:\WINDOWS\system32\irfyfmhc.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mvrbkhga.ini

C:\WINDOWS\system32\ogpapoit.ini

C:\WINDOWS\system32\pywgsvqc.dll

C:\WINDOWS\system32\qrqcucqw.ini

C:\WINDOWS\system32\qvcmipmg.ini

C:\WINDOWS\system32\ssqooml.dll

C:\WINDOWS\system32\svkyawut.dll

C:\WINDOWS\system32\vbzip10.dll

C:\WINDOWS\system32\vltbqvfo.ini

C:\WINDOWS\system32\wmfkagjo.ini

C:\WINDOWS\system32\wpyaqliu.ini

C:\WINDOWS\system32\yulphppy.ini

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-05 to 2007-12-05 ))))))))))))))))))))))))))))))))))))

.

 

2007-12-05 08:28 . 2007-12-05 08:28 268 --ah----- C:\sqmdata17.sqm

2007-12-05 08:28 . 2007-12-05 08:28 244 --ah----- C:\sqmnoopt17.sqm

2007-12-05 03:10 . 2007-12-05 03:10 <REP> d-------- C:\WINDOWS\ERUNT

2007-12-05 03:02 . 2007-12-05 03:02 268 --ah----- C:\sqmdata16.sqm

2007-12-05 03:02 . 2007-12-05 03:02 244 --ah----- C:\sqmnoopt16.sqm

2007-12-04 21:19 . 2007-12-04 21:19 <REP> d-------- C:\Program Files\Avira

2007-12-04 21:19 . 2007-12-04 21:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-12-04 20:57 . 2007-12-04 20:57 <REP> d-------- C:\Program Files\Trend Micro

2007-11-20 00:25 . 2007-11-27 22:44 <REP> d-------- C:\Program Files\Everest Poker

2007-11-14 18:58 . 2007-11-19 13:57 <REP> d--h----- C:\Program Files\InstallShield Installation Information

2007-11-13 23:05 . 2007-11-13 23:28 <REP> d-------- C:\VundoFix Backups

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-04 20:38 10 ----a-w C:\Program Files\.autoreg

2007-12-04 20:22 --------- d-----w C:\Documents and Settings\LEDRU\Application Data\LimeWire

2007-12-04 15:32 --------- d-----w C:\Program Files\Java

2007-11-30 17:38 --------- d-----w C:\Program Files\eMule

2007-11-14 17:58 --------- d-----w C:\Program Files\Google

2007-10-22 22:05 --------- d-----w C:\Program Files\Veoh Networks

2007-10-22 21:23 --------- d-----w C:\Program Files\DivX

2007-10-22 12:22 --------- d-----w C:\Program Files\Winamp

2007-10-22 11:02 --------- d-----w C:\Program Files\Overland

2004-10-01 14:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe

.

 

((((((((((((((((((((((((((((( snapshot@2007-12-05_ 1.59.10.34 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-12-03 11:52:39 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

+ 2007-12-05 02:11:00 4,141,056 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT

+ 2007-12-05 02:11:00 278,528 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2007-12-03 11:52:39 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE

+ 2007-12-05 02:10:59 4,141,056 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT

+ 2007-12-05 02:10:59 278,528 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45]

"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-11-13 15:48]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2006-03-14 03:06]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-12-05 00:44]

"HPHUPD05"="C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe" [2003-11-12 23:12]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 14:18]

"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 15:41]

"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2004-02-02 20:43]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-03-23 16:06]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-14 19:05]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"WD Button Manager"="WDBtnMgr.exe" [2007-05-02 11:13 C:\WINDOWS\system32\WDBtnMgr.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-04 21:42]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00]

 

R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys

R3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-07-15 08:28:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2007-12-05 04:35:01 C:\WINDOWS\Tasks\HP Usg Daily.job"

- C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\pexpress\hphped05.exe

.

**************************************************************************

 

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-05 15:44:57

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-12-05 15:46:57 - machine was rebooted

C:\ComboFix2.txt ... 2007-12-05 02:11

C:\ComboFix3.txt ... 2007-12-05 01:59

.

--- E O F ---

 

 

Et au fait je n'ai pas vu de mots de passe dans le fichier C:\SDFix\Data.txt

[Thanos]

salut

 

Ok c'est beaucoup mieux

Et au fait je n'ai pas vu de mots de passe dans le fichier C:\SDFix\Data.txt

C'est tout bon!

 

On va faire un scan en ligne stp >

 

Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

 

Attention!! Panda et Antivir entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan après avoir sauvegardé le rapport)

 

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

• Il faut choisir Full Scan (et pas QuickScan) >
  
• Poste le rapport qu'il t'affichera à la fin.
  
• Note: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
   
  
• Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .
  
• Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054
  

Poste le rapport stp ainsi qu'un nouveau rapport hijackthis

 

Comment fonctionne le pc ?

[romano72]

Salut, voilà le rapport Panda :

 

 

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-12-06 00:25:20

PROTECTIONS: 1

MALWARE: 30

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Avira AntiVir PersonalEdition 7.0.1.49

No Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@atdmt[2].txt

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026474.exe

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026468.exe[sDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026443.exe

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@xiti[1].txt

00167783 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@counter6.sextracker[1].txt

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@serving-sys[1].txt

00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@bs.serving-sys[2].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@weborama[1].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@adtech[1].txt

00169286 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@sextracker[1].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\LEDRU\Cookies\ledru@smartadserver[1].txt

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP724\A0290111.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP722\A0289085.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP721\A0289069.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP721\A0288971.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP723\A0290069.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP720\A0288866.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP719\A0288849.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP719\A0288811.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{54F4E4B6-064B-4588-BC00-386978A7C0E5}\RP344\A0070992.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP720\A0288921.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP724\A0290088.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{CFA66583-F73E-4366-BC2B-617F2115BA69}\RP722\A0290053.EXE

00323879 W32/Guarder.D.worm Virus/Worm No 0 Yes No H:\System Volume Information\_restore{A4721006-4953-4EFA-B796-09FF8E9CE226}\RP273\A0229474.EXE

01240387 Trj/Downloader.PJT Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026194.exe

01240387 Trj/Downloader.PJT Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026195.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026278.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026467.exe[nircmd.cfexe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026467.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026338.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\NirCmd.exe

02070830 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026342.exe

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026203.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026196.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026214.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026202.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026201.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026205.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026210.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026221.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026200.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026212.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026225.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026227.dll

02646028 Adware/PurityScan Adware No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026218.dll

02652697 W32/P2PSimple.C.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026290.exe

02652697 W32/P2PSimple.C.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026295.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026182.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026187.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026183.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026188.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026189.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026184.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026190.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026185.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026191.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026186.exe

02688344 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026192.exe

02688348 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026353.dll

02694181 Trj/Agent.HBA Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026197.dll

02694181 Trj/Agent.HBA Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026199.dll

02804145 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026206.dll

02812177 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026204.dll

02812177 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026213.dll

02861976 Trj/Agent.HEH Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026473.exe

02861976 Trj/Agent.HEH Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026469.exe

02882735 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026228.dll

02882736 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026220.dll

02882737 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026226.dll

02882738 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026223.dll

02882739 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026219.dll

02882742 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026224.dll

02882745 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP158\A0026211.dll

02883045 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{2F48B2A8-00CD-4631-861D-D96E37E57C1C}\RP159\A0026363.dll

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

 

 

 

 

Je n'ai pas pu desinfecter les infections détectées car il faut s'abonner apparement, sinon mon pc tourne beaucoup mieux qu'hier

Modifié le 5 décembre 2007 par romano72

[romano72]

Et ici le rapport HijackThis :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:29:50, on 06/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\hphmon05.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Program Files\My Book\WD Backup\uBBMonitor.exe

C:\Program Files\MSN Messenger\livecall.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\AutoCAD 2006\acad.exe

C:\DOCUME~1\LEDRU\LOCALS~1\Temp\AdskCleanup.0001

C:\Program Files\Fichiers communs\Autodesk Shared\WSCommCntr1.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O22 - SharedTaskScheduler: deboner - {fa4fbf53-c766-4622-8011-a87a805eebf0} - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 7180 bytes

[Thanos]

salut

 

Le rapport Panda est bon! Ne t'inquiêtes pas pour les infections détectées: elles sont confinées dans la restauration système et ne sont pas actives. On s'en débarrassera en un clic à la fin de la désinfection.

Ok juste une petite retouche maintenant >

 

Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes :

O22 - SharedTaskScheduler: deboner - {fa4fbf53-c766-4622-8011-a87a805eebf0} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Pour voir s'il ne reste pas de trace, on utilise ce dernier programme >

 

Tout d'abord, Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan après avoir sauvegardé le rapport.

 

Télécharge SmitfraudFix de S!Ri sur ton bureau

• Double clique sur SmitfraudFix.exe
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  
• Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.
  

Poste le rapport stp : après ca on te débarrasse des programmes et des points de restauration infectés

Modifié le 5 décembre 2007 par charles ingals

[romano72]

merci encore mr Ingalls voilà le rapport :

 

 

SmitFraudFix v2.258

 

Rapport fait à 1:17:04,76, 06/12/2007

Executé à partir de C:\Documents and Settings\LEDRU\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\hphmon05.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Program Files\My Book\WD Backup\uBBMonitor.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LEDRU

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LEDRU\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LEDRU\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: RCA USB Cable Modem #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 82.216.111.123

DNS Server Search Order: 82.216.111.122

DNS Server Search Order: 82.216.111.124

DNS Server Search Order: 82.216.111.125

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE01C6D4-41D2-407E-B2E3-C1F55C728CC2}: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125

HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE01C6D4-41D2-407E-B2E3-C1F55C728CC2}: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125

HKLM\SYSTEM\CS2\Services\Tcpip\..\{CE01C6D4-41D2-407E-B2E3-C1F55C728CC2}: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=82.216.111.123 82.216.111.122 82.216.111.124 82.216.111.125

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Thanos]

salut

 

On va utiliser SmitFraudFix de nouveau pour nettoyer les quelques restes comme ceci >

 

1) Double clique sur SmitfraudFix.exe

• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O (oui) et presse [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
  

2) Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

@++

Modifié le 7 décembre 2007 par charles ingals