[Resolu] Infection Daonol provoquant une redirection internet

[Nusso]

Bonjour,

 

Je suis nouveau ici. Tout d'abord félicitations pour les nombreux tutoriaux consacrés à la désinfection. Je les ai suivi (préparation du nettoyage, remplacement Avast par Antivir, téléchargement des logiciels de base, ...), mais ai une infection résistante aux traitements basiques.

 

C'est pourquoi j'en appelle à votre aide.

 

Origine et symptomes :

En surfant sur generation-nt.com news : http://www.generation-nt.com/firefox-faill...ite-254181.html , Firefox a brutalement planté.

 

Symptomes :

- Liens de recherche google redirigés sur sites porno, pharmacie en ligne, ...

- présence d'un fichier mkgwima.pqo de 18 ko dans la racine de C:\ . Si ce fichier est effacé il réapparait dans les secondes qui suivent.

- crash systématique de certaines applications (winamp)

- mauvais fonctionnement de Firefow et IE (fermeture intempestive en voulant faire clic droit > enregistrer sous ...)

 

J'ai eu une infection similaire il y a quelques temps corrigée en suivant la procédure décrite dans ce topic : http://forum.zebulon.fr/impossible-de-lanc...es-t160263.html

Mais ce coup ci ça ne fonctionne pas

 

Ci joint le rapport HiJackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:53:10, on 27/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\DirSync\DirSync.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\aMSN\bin\wish.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Program Files\DirSync\DirSync_Svr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKCU\..\Run: [DirSync] "C:\PROGRA~1\DirSync\DirSync.exe" /Background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [amsn] C:\Program Files\aMSN\amsn.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

 

 

 

--

End of file - 4472 bytes

 

Toute aide sera bienvenue

 

Merci d'avance

Modifié le 30 mars 2009 par Nusso

[pear]

Bonjour,

 

Téléchargezrandom's system information tool (RSIT) par random/random et sauvegardez-le sur le Bureau.

 

Double-cliquez sur RSIT.exe afin de lancer RSIT.

* Cliquez Continue à l'écran Disclaimer.

* Si l'outil HIjackThis (version à jour) n'est pas présent ou détecté sur l'ordinateur, RSIT le télécharge et vous acceptez la licence.

* L'analyse terminée, deux fichiers texte s'ouvriront.:

Poster le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

* Si ces deux rapports n'apparaissent pas, vous les trouverez dans le dossier C:\rsit

[Nusso]

voici dond le log.txt :

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Arnaud at 2009-03-27 15:25:00

Microsoft Windows XP Édition familiale Service Pack 2

System drive C: has 33 GB (63%) free of 53 GB

Total RAM: 3327 MB (78% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:25:05, on 27/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Babylon\Babylon-Pro\Babylon.exe

C:\PROGRA~1\DirSync\DirSync.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\aMSN\bin\wish.exe

C:\WINDOWS\System32\CTFMON.EXE

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Program Files\DirSync\DirSync_Svr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\program files\mozilla thunderbird\thunderbird.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe

C:\program files\mozilla firefox\firefox.exe

C:\Documents and Settings\Arnaud\Bureau\RSIT.exe

C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\Arnaud.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [DirSync] "C:\PROGRA~1\DirSync\DirSync.exe" /Background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [amsn] C:\Program Files\aMSN\amsn.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

 

--

End of file - 5315 bytes

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

SSVHelper Class - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]

"Babylon Client"=C:\Program Files\Babylon\Babylon-Pro\Babylon.exe [2008-03-11 3551456]

"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"DirSync"=C:\PROGRA~1\DirSync\DirSync.exe [2007-04-15 2689024]

"Skype"=C:\Program Files\Skype\Phone\Skype.exe [2008-04-30 22058792]

"amsn"=C:\Program Files\aMSN\amsn.exe [2006-11-24 32768]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-19 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avast! Web Scanner"=3

"avast! Mail Scanner"=3

"avast! Antivirus"=2

"aswUpdSv"=2

 

C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage

OpenOffice.org 3.0.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

Rainlendar.lnk - C:\Program Files\Rainlendar\Rainlendar.exe

Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

C:\WINDOWS\system32\Ati2evxx.dll [2008-01-22 122880]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\aMSN\bin\wish.exe"="C:\Program Files\aMSN\bin\wish.exe:*:Enabled:Wish Application"

"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

======File associations======

 

.js - open - "C:\Program Files\Macromedia\Dreamweaver UltraDev 4\UltraDev.exe" "%1"

.scr - config - "%1" /S

 

======List of files/folders created in the last 1 months======

 

2009-03-27 15:25:00 ----D---- C:\rsit

2009-03-27 11:05:38 ----D---- C:\Program Files\Avira

2009-03-27 11:05:38 ----D---- C:\Documents and Settings\All Users\Application Data\Avira

2009-03-27 11:00:17 ----D---- C:\Documents and Settings\Arnaud\Application Data\Malwarebytes

2009-03-27 11:00:13 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-03-27 11:00:13 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2009-03-26 09:14:47 ----D---- C:\Program Files\IKEA HomePlanner

2009-03-26 09:14:24 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard

2009-03-17 10:17:00 ----SHD---- C:\RECYCLER

2009-03-17 10:12:31 ----D---- C:\WINDOWS\temp

2009-03-17 10:04:50 ----A---- C:\WINDOWS\zip.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\VFIND.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\SWXCACLS.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\SWSC.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\SWREG.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\sed.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\NIRCMD.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\grep.exe

2009-03-17 10:04:50 ----A---- C:\WINDOWS\fdsv.exe

2009-03-17 10:04:47 ----D---- C:\WINDOWS\ERDNT

2009-03-17 09:52:46 ----A---- C:\WINDOWS\system32\tmp.txt

2009-03-17 09:20:31 ----A---- C:\WINDOWS\ntbtlog.txt

2009-03-16 23:02:33 ----D---- C:\WINDOWS\pss

2009-03-02 15:18:40 ----D---- C:\Program Files\Linksys

 

======List of files/folders modified in the last 1 months======

 

2009-03-27 15:25:01 ----D---- C:\TEMP

2009-03-27 15:22:48 ----D---- C:\Program Files\Mozilla Firefox

2009-03-27 15:18:23 ----D---- C:\WINDOWS\Prefetch

2009-03-27 15:07:24 ----D---- C:\Documents and Settings\Arnaud\Application Data\Skype

2009-03-27 15:04:40 ----D---- C:\Documents and Settings\All Users\Application Data\Babylon

2009-03-27 11:12:34 ----D---- C:\Program Files\Mozilla Thunderbird

2009-03-27 11:05:39 ----D---- C:\WINDOWS\system32\drivers

2009-03-27 11:05:38 ----RD---- C:\Program Files

2009-03-27 11:03:21 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-03-27 10:52:40 ----RASH---- C:\boot.ini

2009-03-27 10:52:40 ----A---- C:\WINDOWS\win.ini

2009-03-27 10:52:40 ----A---- C:\WINDOWS\system.ini

2009-03-27 10:42:28 ----D---- C:\WINDOWS\system32\CatRoot2

2009-03-27 10:40:09 ----D---- C:\WINDOWS\system32

2009-03-27 10:34:42 ----D---- C:\WINDOWS

2009-03-27 10:05:51 ----HD---- C:\WINDOWS\inf

2009-03-27 10:04:50 ----SHD---- C:\WINDOWS\Installer

2009-03-27 10:04:49 ----D---- C:\WINDOWS\WinSxS

2009-03-27 09:37:12 ----D---- C:\Documents and Settings\Arnaud\Application Data\skypePM

2009-03-27 09:32:55 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-03-26 21:51:08 ----D---- C:\Documents and Settings\Arnaud\Application Data\Babylon

2009-03-26 18:10:12 ----D---- C:\Program Files\Paint Shop Pro 5

2009-03-26 11:09:18 ----AD---- C:\Documents and Settings\All Users\Application Data\TEMP

2009-03-26 09:14:24 ----D---- C:\Program Files\Fichiers communs

2009-03-17 10:25:44 ----RSD---- C:\WINDOWS\assembly

2009-03-17 10:25:43 ----RSD---- C:\WINDOWS\Fonts

2009-03-17 10:16:11 ----SHD---- C:\System Volume Information

2009-03-17 10:16:11 ----D---- C:\WINDOWS\system32\Restore

2009-03-17 10:09:28 ----D---- C:\WINDOWS\AppPatch

2009-03-17 09:20:55 ----D---- C:\Documents and Settings

2009-03-16 22:48:13 ----D---- C:\Program Files\Winamp

2009-03-02 15:18:40 ----SD---- C:\WINDOWS\Downloaded Program Files

2009-03-02 15:18:40 ----HD---- C:\Program Files\InstallShield Installation Information

2009-03-02 15:18:40 ----D---- C:\Program Files\Fichiers communs\InstallShield

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]

R1 dk2drv;DK2 WindowsNT Driver; \??\C:\WINDOWS\SYSTEM32\Drivers\dk2drv.sys []

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-19 40320]

R2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]

R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller; C:\WINDOWS\System32\DRIVERS\atl01_xp.sys [2007-03-15 38656]

R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2008-01-22 2845696]

R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2007-07-20 84992]

R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []

R3 DK2USB;DK2usb Driver; C:\WINDOWS\System32\Drivers\DK2USB.sys [2008-02-28 18360]

R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]

R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2002-08-30 9600]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-03-26 4395008]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-30 12288]

R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [2004-08-13 5810]

R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]

R3 usbehci;Pilote miniport de contrôleur hôte amélioré USB 2.0 Microsoft; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]

R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]

R3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]

R3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]

S1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]

S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]

S2 DS1410D;DS1410D; C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS []

S3 usbbus;LGE Mobile Composite USB Device; C:\WINDOWS\system32\DRIVERS\lgusbbus.sys [2008-02-01 12672]

S3 USBModem;LGE Mobile USB Modem; C:\WINDOWS\system32\DRIVERS\lgusbmodem.sys [2008-02-01 21760]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AntiVirScheduler;Planificateur Avira AntiVir Personal - Free Antivirus; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]

R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-01-22 512000]

R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]

S4 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-01-22 593920]

S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

 

-----------------EOF-----------------

 

 

et le info.TXT :

 

info.txt logfile of random's system information tool 1.06 2009-03-27 15:25:07

 

======Uninstall list======

 

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"

Adobe Acrobat 4.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 4.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 4.0\NT\Uninst.dll"

Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

Altair HyperWorks 7.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1AAB02B9-7C9D-11D7-86C9-00104BD7BBEB}\setup.exe"

aMSN 0.97.2-->C:\Program Files\aMSN\uninstall.exe

ATI - Software Uninstall Utility-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe

ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}

ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0

ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean

ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}

Attansic Ethernet Utility-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1F698102-5739-441E-96F0-74F4EA540F06}\setup.exe" -l0x9 -removeonly

Attansic L1 Gigabit Ethernet Driver-->rundll32.exe C:\WINDOWS\System32\Attansic\L1\atcInst.dll,AtcUninst C:\WINDOWS\System32\Attansic\L1 x86 1969 1048 L1

AutoIt v3.2.10.0-->C:\Program Files\AutoIt3\Uninstall.exe

Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

Babylon Toolbar-->MsiExec.exe /I{67A339E5-D8AA-4E88-9278-A571B397F798}

Babylon-->C:\Program Files\Babylon\Babylon-Pro\Utils\uninstbb.exe

Comptabilité-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5827A3F0-23B3-414F-BFD8-95F96A3D199D}\Setup.exe" -l0x40c -uninst

DameK UltraBlue-->C:\WINDOWS\iun6002.exe "C:\WINDOWS\Resources\Themes\DameK UltraBlue\irunin.ini"

DECAdry Express Publishing 3.0-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\DECAdry\Uninst.isu"

DirSync Directory Synchronizer-->C:\WINDOWS\UNWISE.EXE C:\WINDOWS\INSTALL_DIRSYNC.LOG

DK2 DESkey Drivers v7.14.0.25-->rundll32 C:\WINDOWS\system32\DK2INST.DLL,RunDLL_Uninstall

FileMaker Pro 8.5-->MsiExec.exe /I{DC4C464D-416A-4F42-B212-8B744C1BB4AE}

Foxit PDF Editor-->C:\Program Files\Foxit Software\PDF Editor\uninstall.exe

High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe"

HijackThis 2.0.2-->"C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe" /uninstall

IKEA Home Planner-->MsiExec.exe /I{AFA9D219-A7FD-4240-8793-E5C7C9D715F4}

Java 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}

Java 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}

Java 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}

JMB36X Raid Configurer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x40c -removeonly

LG PC Suite-->C:\Program Files\InstallShield Installation Information\{0B7BA3EE-D7AC-494E-999D-DA58D6D01DAC}\setup.exe -runfromtemp -l0x040c -removeonly

LG USB Modem driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C3ABE126-2BB2-4246-BFE1-6797679B3579}\setup.exe" -l0x40c LG -removeonly

Macromedia Dreamweaver UltraDev 4-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ABDA9912-5D00-11D4-BAE7-9367CA097955}\Setup.exe" mmUninstall

Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" mmUninstall

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe

Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe

Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}

Microsoft VC80 Support DLLs-->MsiExec.exe /I{342F5437-C87D-4BB5-89B9-B23E16C6A395}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"

Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

Mozilla Thunderbird (2.0.0.21)-->C:\program files\Mozilla Thunderbird\uninstall\helper.exe

MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}

MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}

ObjectDock-->C:\PROGRA~1\Stardock\OBJECT~1\UNWISE.EXE C:\PROGRA~1\Stardock\OBJECT~1\INSTALL.LOG

OLYMPUS Master 2-->MsiExec.exe /X{CBC85F2E-1981-4C55-9418-908D08D2C6E8}

OpenOffice.org 3.0-->MsiExec.exe /I{1572F66F-F9AD-4D45-B0D2-0F45A0D5A0F6}

Outils de productivité WebEx-->MsiExec.exe /I{BD5F604E-0460-4DC9-9007-0E7189FD4760}

Paint Shop Pro 5.01 CD-->C:\PROGRA~1\PAINTS~1\UNWISE.EXE C:\PROGRA~1\PAINTS~1\INSTALL.LOG

QuickTime Alternative 2.4.0-->"C:\Program Files\QuickTime Alternative\unins000.exe"

Rainlendar (remove only)-->"C:\Program Files\Rainlendar\uninst.exe"

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x40c -removeonly

Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}

UltraVNC v1.0.2-->"C:\Program Files\UltraVNC\unins000.exe"

Utilitaire de mappage de lecteur réseau-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C7325E7B-6844-4D46-9515-365BCE0DC185}\setup.exe" -l0x40c REMOVE -removeonly

UxTheme Multipatcher Fr-->C:\Program Files\UxTheme Multipatcher Fr\uninstall.exe

VideoLAN VLC media player 0.8.6e-->C:\Program Files\VideoLAN\VLC\uninstall.exe

-runfromtemp -l0x040c -removeonly

WebEx-->C:\PROGRA~1\MOZILL~1\plugins\atcliun.exe

Winamp-->"C:\Program Files\Winamp\UninstWA.exe"

Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}

Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"

Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"

Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll

Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}

Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}

Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe

XnView 1.92.1-->"C:\Program Files\XnView\unins000.exe"

 

=====HijackThis Backups=====

 

O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll [2009-03-27]

 

======Hosts File======

 

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

 

======Security center information======

 

AV: Avira AntiVir PersonalEdition Classic (outdated)

 

======System event log======

 

Computer Name: ACP-Q6600

Event Code: 3019

Message: Le redirecteur n'a pas réussi à déterminer le type de la connexion.

 

Record Number: 5206

Source Name: MRxSmb

Time Written: 20090105113239.000000+060

Event Type: Avertissement

User:

 

Computer Name: ACP-Q6600

Event Code: 7036

Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté.

 

Record Number: 5205

Source Name: Service Control Manager

Time Written: 20090105102945.000000+060

Event Type: Informations

User:

 

Computer Name: ACP-Q6600

Event Code: 7036

Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution.

 

Record Number: 5204

Source Name: Service Control Manager

Time Written: 20090105102939.000000+060

Event Type: Informations

User:

 

Computer Name: ACP-Q6600

Event Code: 7035

Message: Un contrôle Démarrer a correctement été envoyé au service Service COM de gravage de CD IMAPI.

 

Record Number: 5203

Source Name: Service Control Manager

Time Written: 20090105102939.000000+060

Event Type: Informations

User: AUTORITE NT\SYSTEM

 

Record Number: 5202

Source Name: Service Control Manager

Time Written: 20090105082216.000000+060

Event Type: erreur

User:

 

=====Application event log=====

 

Computer Name: ACP-Q6600

Event Code: 1100

Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMDiagnostics.dll

 

 

Record Number: 320

Source Name: .NET Runtime Optimization Service

Time Written: 20080506174215.000000+120

Event Type: Informations

User:

 

Computer Name: ACP-Q6600

Event Code: 1102

Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelReg.exe

 

 

Record Number: 319

Source Name: .NET Runtime Optimization Service

Time Written: 20080506174215.000000+120

Event Type:

User:

 

Computer Name: ACP-Q6600

Event Code: 1100

Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelReg.exe

 

 

Record Number: 318

Source Name: .NET Runtime Optimization Service

Time Written: 20080506174215.000000+120

Event Type: Informations

User:

 

Computer Name: ACP-Q6600

Event Code: 1102

Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\Microsoft.Transactions.Bridge.Dtc.dll

 

 

Record Number: 317

Source Name: .NET Runtime Optimization Service

Time Written: 20080506174215.000000+120

Event Type:

User:

 

Computer Name: ACP-Q6600

Event Code: 1100

Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\Microsoft.Transactions.Bridge.Dtc.dll

 

 

Record Number: 316

Source Name: .NET Runtime Optimization Service

Time Written: 20080506174214.000000+120

Event Type: Informations

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"NUMBER_OF_PROCESSORS"=4

"OS"=Windows_NT

"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel

"PROCESSOR_LEVEL"=6

"PROCESSOR_REVISION"=0f0b

"TEMP"=C:\Temp

"TMP"=C:\Temp

"windir"=%SystemRoot%

"MFPSHOST"=ACP-Q6600

 

-----------------EOF-----------------

Modifié le 30 mars 2009 par Nusso

[pear]

Toujours rien de visible.

 

Créez un sur C:\ un dossier nommé Gamer

Vous allez Renommer gmer

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

clic droit sur http://www.gmer.net/gmer.zip

Choisir "Enregistrer la cible du lien..sous...."

Choisir pour destination le fichier C:\gamer

En bas, à Nom du Fichier:

tapez gamer.exe

Cliquez enfin sur -> Enregistrer sous

Entrez dans C:\gamer

Lancez gmer en double cliquant sur gamer.exe

Déconnectez internet si possible et fermez tous les programmes.

 

Si une alerte de l' antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laissez le s'executer.

Clic sur l'onglet "rootkit"

Clic sur Scan

A la fin du scan->Clic sur copie

Collez le résultat dans un prochain message

[Nusso]

ça ne fait rien.

Quand je lance gamer.exe , une fenêtre DOS s'ouvre un court instant puis se referme. Aucun process "gamer.exe" n'apparait dans le gestionnaire de taches

j'ai téléchargé la version 1.0.15.14966 directement depuis gmer.net et ça marche maintenant . J'attends la fin du scan

Modifié le 27 mars 2009 par Nusso

[Nusso]

c'est fini

 

Voici le rapport :

 

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-03-27 19:36:20

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

SSDT BA7B3B74 ZwCreateThread

SSDT BA7B3B60 ZwOpenProcess

SSDT BA7B3B65 ZwOpenThread

SSDT BA7B3B6F ZwTerminateProcess

SSDT BA7B3B6A ZwWriteVirtualMemory

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\System32\CTFMON.EXE[412] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\system32\winlogon.exe[736] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\system32\services.exe[780] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\system32\lsass.exe[792] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\system32\svchost.exe[1064] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\System32\svchost.exe[1140] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\System32\svchost.exe[1180] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\System32\alg.exe[1260] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\System32\svchost.exe[1272] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\PROGRA~1\DirSync\DirSync.exe[1744] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\Program Files\aMSN\bin\wish.exe[1792] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100D33D8

.text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!connect 719F406A 5 Bytes JMP 100D3320

.text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!send 719F428A 5 Bytes JMP 100D2C04

.text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 100D2438

.text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!recv 719F615A 5 Bytes JMP 100D23BC

.text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100D32D4

.text C:\Program Files\Rainlendar\Rainlendar.exe[1804] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100933D8

.text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!connect 719F406A 5 Bytes JMP 10093320

.text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!send 719F428A 5 Bytes JMP 10092C04

.text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10092438

.text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!recv 719F615A 5 Bytes JMP 100923BC

.text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100932D4

.text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100233D8

.text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!connect 719F406A 5 Bytes JMP 10023320

.text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!send 719F428A 5 Bytes JMP 10022C04

.text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10022438

.text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!recv 719F615A 5 Bytes JMP 100223BC

.text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100232D4

.text C:\WINDOWS\System32\svchost.exe[1996] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\WINDOWS\System32\svchost.exe[2240] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8

.text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320

.text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04

.text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438

.text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC

.text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] KERNEL32.dll!CreateProcessW 7C802332 5 Bytes JMP 100233D8

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!connect 719F406A 5 Bytes JMP 10023320

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!send 719F428A 5 Bytes JMP 10022C04

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10022438

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!recv 719F615A 5 Bytes JMP 100223BC

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100232D4

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100133D8

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!connect 719F406A 5 Bytes JMP 10013320

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!send 719F428A 5 Bytes JMP 10012C04

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10012438

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!recv 719F615A 5 Bytes JMP 100123BC

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100132D4

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100133D8

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!connect 719F406A 5 Bytes JMP 10013320

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!send 719F428A 5 Bytes JMP 10012C04

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10012438

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!recv 719F615A 5 Bytes JMP 100123BC

.text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100132D4

 

---- EOF - GMER 1.0.15 ----

 

les symptômes ressemblent fort à ceux traités ici : http://forum.zebulon.fr/redirection-vers-s...te-t161058.html

Modifié le 27 mars 2009 par Nusso

[pear]

Vous n'avez pas tort .

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,vous pourriez lire ce Mode opératoire:

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe pour le lancer.

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[Nusso]

Merci, je fais cela demain

A suivre ....

[Nusso]

Bonjour,

 

Rien à faire, je ne peux pas faire fonctionner le programme

 

1 - impossible d'installer la console de récupération. Je glisse le fichier sur l'icone de ComboFix et rien ne se passe (que Combofix soit appelé par son nom normal ou renommé)

2 - Si j'essaie de lancer malgré tout ComboFix sans console de récupération, un barre de progression apparait quelques instants puis plus rien. (Un répertoire avec plein de programmes est simplement créé dans la racine de C:)

3 - Idem en mode sans échec, en tant que administrateur

 

autres infos peut être utiles :

- j'ai mis un raccourci vers ce post sur le bureau. Si je fais un double clic dessus, les icones du bureau disparaissent un instant puis reviennent mais le navigateur n'est pas lancé. Je dois d'abord lancer manuellement le navigateur, puis double cliquer le raccourci pour que ça fonctionne.

- pou visualiser un fichier texte : Clic droit > "envoyer vers le bloc notes" ne fonctionne pas : disparition momentanée des icones du bureau puis plus rien. Alors que glisser le fichier dans lafenetre du bloc note déjà ouvert fonctionne bien.

- si j'essaie d'accéder au site bleepingcomputer depuis le PC infecté, FF se ferme brutalement ....

Modifié le 28 mars 2009 par Nusso

[pear]

Bonjour,

 

Désinstallez Combofix:

 

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

 

Renommer ComboFix

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

tapez par exemple votrenom.exe

Cliquez enfin sur -> Enregistrer

Sur le bureau

Lancez Combofix en double cliquant sur votrenom.exe

En cas de problème, :

méthode illustrée

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->MsconfigM

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.

[/color]

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[/color]