Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infection par reader_s.exe, HELP !!!![RESOLU]

giorgio911

Par giorgio911
dans Analyses et éradication malwares

 Partager

Messages recommandés

giorgio911 Mega Power Member

giorgio911

Posté(e)
Posté(e) (modifié)

:P :P

Bonjour à tous,

suite aux conseils d' un autre forumeur je post ici mon problème qui me met en émois, ce pour 2 raisons, pratiquement mon seul loisir c'est mon Pc je fais tout avec (recherches, conception web, musique, traitement de photos, un peu de jeu, etc...etc....), il tourne 24/24h et là ça me fait tout drôle de le voir éteint, on dirait qu'il est "mort", et ma config est "toute neuve" c'est ma première config montée moi-même, elle a un mois...D'où mes pleurs.

Mon Pc est sous Win Xp Sp2 Pro (mod unicornis, aucun problème avec d'autres bécanes équipés pareil), le disque dur est un maxtor 320Go fragmenté en 50Go pour Win et le reste pour les fichiers dont un fichier crypté de 140Go qui s'ouvre avec Truecrypt et génère un disque dur virtuel t: pour mes fichiers perso.

Depuis hier 16h j'ai chopé reader_s.exe, c'est l'apparition d'un écran bleu à 2 reprises qui m'a mis la puce à l'oreille, j'ai redémarré en mode sans échec et scanné avec mon antivirus AVG 8.5 free, il a tout détecté mais ne peux pas soigner grand chose donc mise en quarantaine de pratiquement tous les exe de c:/program Files, donc j'ai pigé, j'ai formaté, puis j'ai commencé à réinstaller mes programmes (j'ai un dossier avec tous mes installs), rebelote, infection en cascade, je reformate à nouveau, j'installe les drivers de la carte mère, et quand j'installe Foxit Reader et lui demande de télécharger le language français, INFECTION !!!!

J'ai lu un peu de tout sur le net, que le virus se met dans le BIOS, dans les barettes mémoires (c'est possible ça !!!???), que même après un formatage appelé "bas niveau" il revenait quand même, la solution serait-elle de changer le disque dur ???

Enfin bref, j'ai des sueurs froides depuis hier, j'ai presque pas dormi, j'ai quelques fichiers à récupérer qui correspondent à l'activité du mois dernier , le reste environs 35Go étant sur un hdd externe qui me sert d'archive périodique n'est pas perdu, donc si je pouvais récupérer le fichier de pass de kepass un .kdb, quelques wallpapers (pas grave), 2.2Go de fichier .mod provenant de mon camescope et un peu de musique.

Est-il possible de faire ces récup sans risque et comment, sinon tant pis ....

Et surtout comment assainir mon système et revenir à ma chère config adorée ???

Je suis vraiment désemparé, j'ai proposé et propose toujours un don PAYPAL à qui résoudra ce soucis qui me pourrie la vie.

Indiquez moi un pas à pas (apparement l'utilisation de HiJackthis que je ne connais pas), je le suivrais à la lettre...

Je vous remercie déjà d'avance pour vos réponses, j'ai vraiment besoin de vous.

merci.

Modifié par giorgio911

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour,

 

j'ai proposé et propose toujours un don PAYPAL

 

Ce n'est pas bien.

Tout ici est basé sur l'échange et le bénévolat.

 

j'ai commencé à réinstaller mes programmes (j'ai un dossier avec tous mes installs)

 

Je crains que votre problème soit là.Vos programmes sont très probablement aussi infectés.

 

Donc , vos données étant sauvegardées,formatage->Installation de Windows

A ce stade, lancez Dr Web pour voir si c'est ok.

 

Téléchargez Dr.Web CureIt

Imprimez ces instructions car , vous allez lancer le mode sans échec qui ne permet la connexion internet.

 

Redémarrez en mode sans échec. en mode Normal

Pour cela:

* Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.

* Sélectionnez "Mode sans échec" et validez].

* Choisir votre compte usuel,.

 

* Double cliquez drweb-cureit. puis sur Analyse ;

* Cliquez Ok à l'invite de l'analyse rapide.

Ce scan analyse les processus chargés en mémoire ;

Si des processus infectés sont trouvés, cliquez sur Oui pour tout".

une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"

* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;

* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"

* De retour à la fenêtre principale : cliquez pour activer Analyse complète;

* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.

* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.

* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiers détectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif

* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable

* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv

* Sauvegardez le rapport sur le Bureau.

* Fermez Dr.Web Cureit

* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.

* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.

 

Scannez le dossier où sont vos installations et n'installez que ce qui est propre.

 

Bonne chance!

Modifié par pear
giorgio911 Mega Power Member

giorgio911

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonjour,

 

 

 

Ce n'est pas bien.

Tout ici est basé sur l'échange et le bénévolat.

 

 

 

Je crains que votre problème soit là.Vos programmes sont très probablement aussi infectés.

 

Donc , vos données étant sauvegardées,formatage->Installation de Windows

A ce stade, lancez Dr Web pour voir si c'est ok.

 

Téléchargez Dr.Web CureIt

Imprimez ces instructions car , vous allez lancer le mode sans échec qui ne permet la connexion internet.

 

Redémarrez en mode sans échec. en mode Normal

Pour cela:

* Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.

* Sélectionnez "Mode sans échec" et validez].

* Choisir votre compte usuel,.

 

* Double cliquez drweb-cureit. puis sur Analyse ;

* Cliquez Ok à l'invite de l'analyse rapide.

Ce scan analyse les processus chargés en mémoire ;

Si des processus infectés sont trouvés, cliquez sur Oui pour tout".

une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"

* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;

* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"

* De retour à la fenêtre principale : cliquez pour activer Analyse complète;

* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.

* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.

* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiers détectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif

* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable

* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv

* Sauvegardez le rapport sur le Bureau.

* Fermez Dr.Web Cureit

* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.

* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.

 

Scannez le dossier où sont vos installations et n'installez que ce qui est propre.

 

Bonne chance!

 

 

Merci pour la réponse, concernant le don, si cette proposition dérange, je m'engage à rester 1 an sur le forum pour aider en fonction de mes compétences.

 

Dr Web j'ai un install et j'avais aussi tenté mais il me dit que cette install est expirée et a besoin d'une license, j'espère que ça va marcher.

 

Questions cruciales :1.dois-je formater TOUTES mes partitions ??? et si oui, puis-je récupérer des données avant (citées plus haut, mon fichier keepass, des images, de la musique et des .mod qui sont de la vidéo), et comment pour le faire en toute sécurité ?

 

Encore merci pour les réponses, dès que j'ai la suite, je m'y met. :P

 

au fait le virus dans le BIOS ou planqué ailleur sur le hdd c'est de la légende urbaine ?

Modifié par giorgio911
pear Devil Member !

pear

Posté(e)
Posté(e)

Normalement, c'est la partition système qui est attaquée,

Mais si c'est possible, "qui peut le plus peut le moins".

.

 

Virut patche les fichiers .exe, scr etc..

Dans les dernières versions, il infecte aussi les jpegs,docs,pdfs

Vous n'êtes donc pas à l'abri.

 

N'utilisez aucun de vos logiciels.Ils sont très probablement pourris.

Utilisez le lien fourni et passez drWeb sur toutes vos partitions.

giorgio911 Mega Power Member

giorgio911

Posté(e)
  • Auteur
Posté(e)
Normalement, c'est la partition système qui est attaquée,

Mais si c'est possible, "qui peut le plus peut le moins".

.

 

Virut patche les fichiers .exe, scr etc..

Dans les dernières versions, il infecte aussi les jpegs,docs,pdfs

Vous n'êtes donc pas à l'abri.

 

N'utilisez aucun de vos logiciels.Ils sont très probablement pourris.

Utilisez le lien fourni et passez drWeb sur toutes vos partitions.

 

 

j'ai donc fait ceci:

formatage de c:

installation de win Xp

redemarrage sans echec

scan avec Dr Web de c: et d:

 

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;

Crypto.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

FairUse4WM.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

LameXP.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

MySight 2006 Genesis Edition Setup.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

PocketDivXEncoder_0.3.60.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

WinfoKeys.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

Xtremsplit.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001\data001;D:\Archives\install files\zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001;Adware.MyWebSearch.22;;

data001;D:\Archives\install files;Conteneur comporte des objets infectés;;

Z4BARSPINSTALL.EXE;D:\Archives\install files;Conteneur comporte des objets infectés;;

zaZA_Setup_fr.exe;D:\Archives\install files;L'archive contient des éléments infectés;Quarantaine.;

 

 

 

 

infections trouvées et 1 fichier en quarantaine (où est la quarantaine que je supprime ce fichier ?) voir rapport

redémarrage mode normal

scan avec Dr Web de c: et d: voir rapport (rien de trouvé je crois)

 

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;

 

 

installation de truecrypt et donc ouverture de t:

scan avec Dr Web de t:

infections trouvées (voir rapport)

 

FullSync.exe;T:\Archives encrypted\FullSync;Win32.Virut.56;Désinfecté.;

KeePass.exe;T:\Archives encrypted\KeePass;Win32.Virut.56;Désinfecté.;

 

 

redémarrage mode normal

scan COMPLET avec Dr Web (c:, d: et t:) voir rapport

 

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;

 

 

installation des drivers de la carte mère pour avoir accès à internet et mettre ce post.

 

A présent ? Où puis-je eraser la quarantaine et suis-je totalement désinfecté ???

Vais-je voir le bout du tunnel ?

giorgio911 Mega Power Member

giorgio911

Posté(e)
  • Auteur
Posté(e)
j'ai donc fait ceci:

formatage de c:

installation de win Xp

redemarrage sans echec

scan avec Dr Web de c: et d:

 

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;

Crypto.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

FairUse4WM.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

LameXP.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

MySight 2006 Genesis Edition Setup.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

PocketDivXEncoder_0.3.60.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

WinfoKeys.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

Xtremsplit.exe;D:\Archives\install files;Win32.Virut.56;Désinfecté.;

zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001\data001;D:\Archives\install files\zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001;Adware.MyWebSearch.22;;

data001;D:\Archives\install files;Conteneur comporte des objets infectés;;

Z4BARSPINSTALL.EXE;D:\Archives\install files;Conteneur comporte des objets infectés;;

zaZA_Setup_fr.exe;D:\Archives\install files;L'archive contient des éléments infectés;Quarantaine.;

 

 

 

 

infections trouvées et 1 fichier en quarantaine (où est la quarantaine que je supprime ce fichier ?) voir rapport

redémarrage mode normal

scan avec Dr Web de c: et d: voir rapport (rien de trouvé je crois)

 

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;

 

 

installation de truecrypt et donc ouverture de t:

scan avec Dr Web de t:

infections trouvées (voir rapport)

 

FullSync.exe;T:\Archives encrypted\FullSync;Win32.Virut.56;Désinfecté.;

KeePass.exe;T:\Archives encrypted\KeePass;Win32.Virut.56;Désinfecté.;

 

 

redémarrage mode normal

scan COMPLET avec Dr Web (c:, d: et t:) voir rapport

 

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;;

 

 

installation des drivers de la carte mère pour avoir accès à internet et mettre ce post.

 

A présent ? Où puis-je eraser la quarantaine et suis-je totalement désinfecté ???

Vais-je voir le bout du tunnel ?

 

 

Quelques heures plus tard voilà le log de Dr Web:

 

zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001\data001;C:\Documents and Settings\Admin\Bureau\zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001;Adware.MyWebSearch.22;;

data001;C:\Documents and Settings\Admin\Bureau;Conteneur comporte des objets infectés;;

Z4BARSPINSTALL.EXE;C:\Documents and Settings\Admin\Bureau;Conteneur comporte des objets infectés;;

zaZA_Setup_fr.exe;C:\Documents and Settings\Admin\Bureau;L'archive contient des éléments infectés;Quarantaine.;

z4barSpInstall.exe/data001\data001;C:\Documents and Settings\Admin\Local Settings\Temp\090509172101\z4barSpInstall.exe/data001;Adware.MyWebSearch.22;;

data001;C:\Documents and Settings\Admin\Local Settings\Temp\090509172101;Conteneur comporte des objets infectés;;

z4barSpInstall.exe;C:\Documents and Settings\Admin\Local Settings\Temp\090509172101;Conteneur comporte des objets infectés;Quarantaine.;

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;Irréparable.Supprimé.;

 

 

je crois qu'il fallait pas effacer cmdow.exe ça craint !!!!

 

 

 

dans la foulée j'ai téléchargé Hijackthis et voici le rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:46:02, on 05/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TrueCrypt\TrueCrypt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GEST] m’|\ü

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 2854 bytes

giorgio911 Mega Power Member

giorgio911

Posté(e)
  • Auteur
Posté(e)
Quelques heures plus tard voilà le log de Dr Web:

 

zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001\data001;C:\Documents and Settings\Admin\Bureau\zaZA_Setup_fr.exe/Z4BARSPINSTALL.EXE/data001;Adware.MyWebSearch.22;;

data001;C:\Documents and Settings\Admin\Bureau;Conteneur comporte des objets infectés;;

Z4BARSPINSTALL.EXE;C:\Documents and Settings\Admin\Bureau;Conteneur comporte des objets infectés;;

zaZA_Setup_fr.exe;C:\Documents and Settings\Admin\Bureau;L'archive contient des éléments infectés;Quarantaine.;

z4barSpInstall.exe/data001\data001;C:\Documents and Settings\Admin\Local Settings\Temp\090509172101\z4barSpInstall.exe/data001;Adware.MyWebSearch.22;;

data001;C:\Documents and Settings\Admin\Local Settings\Temp\090509172101;Conteneur comporte des objets infectés;;

z4barSpInstall.exe;C:\Documents and Settings\Admin\Local Settings\Temp\090509172101;Conteneur comporte des objets infectés;Quarantaine.;

cmdow.exe;C:\WINDOWS\system32;Tool.HideWindows;Irréparable.Supprimé.;

 

 

je crois qu'il fallait pas effacer cmdow.exe ça craint !!!!

 

 

 

dans la foulée j'ai téléchargé Hijackthis et voici le rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:46:02, on 05/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TrueCrypt\TrueCrypt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GEST] m’|\ü

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 2854 bytes

 

 

j'ai trouvé la quarantaine de Dr Wrb qui est dans c:/document and settings/admin/Dr Web/Quarantine, j'ai supprimé tout ce qu'il y avait et vidé la corbeille.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

ok,

 

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

[/color]

 

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

 

cmdow.exe

 

Fermez le bloc-note et enregistrez les changements.

 

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

Si vous vous faites aider sur un forum, vous pouvez eventuellement copier/coller ce rapport.

 

Relancez Dr Web

Modifié par pear
giorgio911 Mega Power Member

giorgio911

Posté(e)
  • Auteur
Posté(e)
ok,

 

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

[/color]

 

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

 

cmdow.exe

 

Fermez le bloc-note et enregistrez les changements.

 

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

Si vous vous faites aider sur un forum, vous pouvez eventuellement copier/coller ce rapport.

 

Relancez Dr Web

 

 

apparement ça à l'air bon, mercredi histoire de mettre un dernier coup de chiffon je reformate pour reprendre toute ma réinstall de zero et une semaine après si pas de retour je ferais une copie du système avec pc cloneur, je n'ai qu'une parole, j'ai mis à jour mon profil et j em'engage à rester sur le forum 1 an au moins pour aider en fonction de mes compétences, je tiendrais au courant pour la fion de cette "crise" me concernant.

 

Encore merci! :P

giorgio911 Mega Power Member

giorgio911

Posté(e)
  • Auteur
Posté(e)
apparement ça à l'air bon, mercredi histoire de mettre un dernier coup de chiffon je reformate pour reprendre toute ma réinstall de zero et une semaine après si pas de retour je ferais une copie du système avec pc cloneur, je n'ai qu'une parole, j'ai mis à jour mon profil et j em'engage à rester sur le forum 1 an au moins pour aider en fonction de mes compétences, je tiendrais au courant pour la fion de cette "crise" me concernant.

 

Encore merci! :P

 

 

Bon, j'ai passé 6 heures à tout réinstaller, un petit scan AVg qui n'a pas détecté de reader_s.exe, ça à l'air bon, je confirmerais dans 7 jours ...à suivre ! :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...