freeze quand surcharge, etc

[pear]

Bon, je ne vois plus que cette solution:

 

 

 

Réparer Xp sans perdre ses données ni les logiciels installés.

 

Réparer Windows par JcBellamy

 

Démarrer le PC depuis le CD de Windows.

La procédure demande si on veut

- installer Windows.

- réparer ou récupérer Windows.

 

Répondre "Installer" (touche <Entrée>)

 

 

Récupérer (touche R) lancerait la console de récupération (ce n'est pas ce qu'on veut ici).

 

La procédure d'installation examine alors la machine.

 

Puis un écran (toujours en mode texte) s'affiche en indiquant qu'une précédente installation de Windows a été découverte.

Il est alors demandé si on veut

- réparer Windows

- faire une nouvelle installation

 

Répondre "Réparer" (touche R)

 

Windows va s'installer comme si c'était une première fois, avec copie préalable de fichiers nécessaires au passage en mode graphique.

 

l faudra obligatoirement ressaisir la clef du produit (5 fois 5 caractères).

 

MAIS tout ce qui existe sera CONSERVÉ intégralement.

Seuls les fichiers du système seront remplacés.

 

Par exemple tous les comptes utilisateurs précédemment définis sont maintenus.

 

Toutes les applications installées, les personnalisations de Windows sont intégralement conservées.

[isalou95]

Re...

 

J'ai obtenu un log combofix !!

Comment ? Je ne voulais pas faire une réparation windows sans que François (mon mari, donc son ordi est sur le même réseau) aille chercher deux trois fichiers sur mon bureau.. juste au cas ou.. En les récupérant, il s'est dit qu'il allait essayer de copier son fichier explorer.exe sur mon ordi. Il n'arrivait pas à avoir accès à c:windows, et l'a donc mis juste dans le c:. Quand je l'ai lancé, mes icônes sont revenues, mais surtout combofix s'est relancé, et m'a finit le log report... Juste une chose : j'avais bien désactivé superantispyware et mbam avant de lancer combofix, mais les avait remis pendant la journée "juste pour voir si ça ferait quelque chose".. peut être bête, mais du coup ils se sont lancés en même temps que explorer...

 

Le voici donc : dois-je toujours faire la réparation (sachant que juste avant qu'il ne m'affiche le log, toutes mes icônes ont redisparu) ?

 

 

ComboFix 09-10-27.07 - Administrator 28/10/2009 11:49.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2047.1522 [GMT 1:00]

Running from: c:\documents and settings\Administrator\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\recycler\S-1-5-21-1801674531-1644491937-839522115-1003

c:\windows\Alcmtr.exe

F:\Autorun.inf

 

c:\windows\system32\mmc.exe . . . is infected!!

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ASC3360PR

-------\Service_asc3360pr

 

 

((((((((((((((((((((((((( Files Created from 2009-09-28 to 2009-10-28 )))))))))))))))))))))))))))))))

.

 

2009-10-28 19:29 . 2008-04-14 00:12 1033728 ----a-w- C:\explorer.exe

2009-10-25 21:07 . 2009-10-25 21:21 -------- d-----w- C:\Gamer

2009-10-25 10:26 . 2009-10-25 10:26 -------- d-----w- C:\_OTM

2009-10-23 21:14 . 2009-10-23 21:14 -------- d-----w- c:\documents and settings\Administrator\Application Data\Malwarebytes

2009-10-23 21:14 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-23 21:14 . 2009-10-23 21:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-10-23 21:14 . 2009-10-23 21:14 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes

2009-10-23 21:14 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-10-15 20:46 . 2009-10-15 20:50 -------- d-----w- C:\ToolBar SD

2009-10-15 14:56 . 2009-10-15 14:56 -------- d-----w- c:\documents and settings\NetworkService.NT AUTHORITY\Local Settings\Application Data\Google

2009-10-15 14:51 . 2009-10-15 14:51 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Temp

2009-10-15 14:51 . 2009-10-15 14:51 -------- d-----w- c:\documents and settings\LocalService.NT AUTHORITY\Local Settings\Application Data\Google

2009-10-15 14:50 . 2009-10-15 14:52 -------- d-----w- c:\program files\Google

2009-10-15 14:50 . 2009-10-15 14:50 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Google

2009-10-15 14:19 . 2009-10-15 14:19 -------- d-----w- c:\windows\Sun

2009-10-15 11:20 . 2009-10-15 12:02 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2009-10-15 11:17 . 2009-10-15 11:17 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\SUPERAntiSpyware.com

2009-10-15 11:16 . 2009-10-15 11:16 -------- d-----w- c:\documents and settings\Administrator\Application Data\SUPERAntiSpyware.com

2009-10-15 11:15 . 2009-10-15 11:15 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2009-10-14 19:00 . 2009-10-28 15:54 -------- d-----w- c:\documents and settings\Administrator\Application Data\dvdcss

2009-10-14 18:26 . 2009-10-28 16:05 -------- d-----w- c:\documents and settings\Administrator\Application Data\vlc

2009-10-14 17:07 . 2009-10-14 17:07 -------- d-----w- c:\documents and settings\Administrator\Application Data\Media Player Classic

2009-10-14 16:23 . 2009-10-27 13:02 -------- d-----w- c:\documents and settings\Administrator\Application Data\BitTorrent

2009-10-14 13:41 . 2009-10-14 13:41 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-10-14 13:39 . 2009-10-14 13:40 -------- d-----w- c:\program files\QuickTime

2009-10-14 13:32 . 2009-10-14 13:42 -------- d-----w- c:\documents and settings\Administrator\Application Data\Apple Computer

2009-10-14 13:32 . 2009-05-18 12:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys

2009-10-14 13:32 . 2008-04-17 11:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll

2009-10-14 13:31 . 2009-10-14 13:32 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-10-14 13:30 . 2009-10-14 13:31 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer

2009-10-14 13:28 . 2009-10-14 13:28 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Apple

2009-10-14 13:26 . 2009-10-14 13:41 -------- d-----w- c:\program files\Common Files\Apple

2009-10-14 13:26 . 2009-10-14 13:26 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Apple

2009-10-14 13:24 . 2009-10-14 13:42 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Apple Computer

2009-10-14 13:21 . 2009-10-28 08:43 -------- d-----w- c:\documents and settings\Administrator\Tracing

2009-10-14 13:20 . 2009-10-14 13:20 -------- d-----w- c:\documents and settings\Administrator\Application Data\Foxit

2009-10-14 13:18 . 2009-10-14 13:18 -------- d-----w- c:\program files\Common Files\Windows Live

2009-10-14 13:15 . 2009-10-14 13:15 0 ----a-w- c:\windows\nsreg.dat

2009-10-14 13:15 . 2009-10-14 13:15 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Mozilla

2009-10-14 13:04 . 2009-10-14 13:04 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Microsoft Help

2009-10-14 13:04 . 2009-10-28 19:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help

2009-10-14 12:59 . 2009-10-14 12:59 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\ATI

2009-10-14 12:59 . 2009-10-14 12:59 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\ATI

2009-10-14 12:59 . 2009-10-14 12:59 -------- d-----w- c:\documents and settings\Administrator\Application Data\ATI

2009-10-14 12:58 . 2009-10-14 12:58 0 ----a-w- c:\windows\ativpsrm.bin

2009-10-14 12:52 . 2009-10-14 12:52 -------- d-----w- C:\ATI

2009-10-14 12:47 . 2009-10-14 12:47 64200 ----a-w- c:\documents and settings\LocalService.NT AUTHORITY\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-10-14 12:46 . 2009-10-14 12:46 -------- d-----w- c:\windows\system32\XPSViewer

2009-10-14 12:46 . 2009-10-14 12:46 -------- d-----w- c:\program files\Reference Assemblies

2009-10-14 12:45 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-10-14 12:45 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-10-14 12:45 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-10-14 12:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-10-14 12:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-10-14 12:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-10-14 12:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll

2009-10-14 12:24 . 2009-10-14 12:24 -------- d-----w- c:\program files\Common Files\ATI Technologies

2009-10-14 12:21 . 2006-12-28 16:44 84992 ----a-r- c:\windows\system32\drivers\AtiHdAud.sys

2009-10-14 12:21 . 2009-08-13 19:05 593920 ------w- c:\windows\system32\ati2sgag.exe

2009-10-14 12:21 . 2009-08-14 02:00 311296 ----a-w- c:\windows\system32\atiiiexx.dll

2009-10-14 12:21 . 2009-08-14 02:28 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll

2009-10-14 12:20 . 2009-08-14 01:42 887724 ----a-w- c:\windows\system32\ativva6x.dat

2009-10-14 12:20 . 2009-08-14 01:42 3 ----a-w- c:\windows\system32\ativva5x.dat

2009-10-14 12:20 . 2009-07-14 15:09 197654 ----a-w- c:\windows\system32\atiicdxx.dat

2009-10-14 12:20 . 2007-06-27 01:30 3107788 ----a-r- c:\windows\system32\ativvaxx.dat

2009-10-14 12:15 . 2009-10-14 12:15 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-10-14 12:14 . 2009-10-14 12:14 -------- d-s---w- c:\documents and settings\Administrator\UserData

2009-10-14 03:55 . 2008-03-20 23:36 4096 ----a-w- c:\windows\system32\ksuser.dll

2009-10-14 03:55 . 2008-03-20 19:38 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys

2009-10-14 03:55 . 2008-03-20 18:11 146048 ----a-w- c:\windows\system32\drivers\portcls.sys

2009-10-14 03:55 . 2008-03-20 17:38 60160 ----a-w- c:\windows\system32\drivers\drmk.sys

2009-10-14 03:55 . 2008-03-20 19:33 57600 ----a-w- c:\windows\system32\drivers\redbook.sys

2009-10-14 03:54 . 2008-03-20 23:36 74240 ----a-w- c:\windows\system32\usbui.dll

2009-10-14 03:50 . 2008-05-03 12:00 5120 ----a-w- c:\windows\system\SHELL.DLL

2009-10-14 03:47 . 2007-05-27 09:08 280011 ----a-w- C:\pmtimer.exe

2009-10-14 03:47 . 2007-05-27 09:08 280671 ----a-w- C:\DSPdsblr.exe

2009-10-14 03:47 . 2007-05-27 09:08 320151 ----a-w- C:\DPsFnshr.exe

2009-10-14 03:47 . 2007-04-05 12:33 90624 ----a-w- C:\makePNF.exe

2009-10-14 03:47 . 2007-04-05 12:33 137728 ----a-w- C:\mute.exe

2009-10-14 03:47 . 2007-04-05 12:33 125440 ----a-w- C:\devcon.exe

2009-10-14 03:47 . 2002-05-31 15:35 76976 ----a-w- c:\windows\system32\drivers\pnp680r.sys

2009-10-14 03:47 . 2006-02-26 15:02 5810 ----a-w- c:\windows\system32\drivers\ASACPI.sys

2009-10-14 03:47 . 2009-10-14 03:47 -------- d-----w- C:\D

2009-10-14 03:46 . 2009-10-28 10:47 -------- d--h--w- c:\documents and settings\Default User.WINDOWS

2009-10-14 03:46 . 2009-10-14 03:03 -------- d-----w- c:\documents and settings\All Users.WINDOWS

2009-10-14 03:40 . 2009-10-14 03:46 -------- d-----w- c:\windows\system32\scripting

2009-10-14 03:40 . 2009-10-14 03:46 -------- d-----w- c:\windows\system32\en

2009-10-14 03:04 . 2009-10-14 03:04 -------- d-----w- c:\documents and settings\Default User.WINDOWS\Local Settings\Application Data\Microsoft

2009-10-14 03:04 . 2009-10-14 12:45 -------- d-----w- c:\windows\system32\dllcache

2009-10-14 03:03 . 2009-10-14 03:03 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS\DRM

2009-10-14 03:02 . 2008-05-03 12:00 11264 ----a-w- c:\windows\system32\atrace.dll

2009-10-14 03:02 . 2008-05-03 12:00 12288 ----a-w- c:\windows\system32\nmevtmsg.dll

2009-10-14 03:02 . 2008-05-03 12:00 64512 ----a-w- c:\windows\system32\acctres.dll

2009-10-14 03:00 . 2009-10-14 03:00 21640 ----a-w- c:\windows\system32\emptyregdb.dat

2009-10-14 02:59 . 2008-05-03 12:00 5632 ----a-w- c:\windows\system32\write.exe

2009-10-14 02:59 . 2008-05-03 12:00 73216 ----a-w- c:\windows\system32\avwav.dll

2009-10-14 02:59 . 2008-05-03 12:00 44544 ----a-w- c:\windows\system32\hticons.dll

2009-10-14 02:59 . 2008-05-03 12:00 216576 ----a-w- c:\windows\system32\sndvol32.exe

2009-10-14 02:59 . 2008-05-03 12:00 35328 ----a-w- c:\windows\system32\winchat.exe

2009-10-14 02:59 . 2008-05-03 12:00 227840 ----a-w- c:\windows\system32\avtapi.dll

2009-10-14 02:59 . 2008-05-03 12:00 16384 ----a-w- c:\windows\system32\avmeter.dll

2009-10-14 02:43 . 2004-03-11 19:16 62865 ----a-w- c:\windows\system32\drivers\odysseyIM3.sys

2009-10-14 02:24 . 2009-10-14 13:18 68456 ----a-w- c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-10-14 02:24 . 2009-10-14 02:24 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\LogiShrd

2009-10-14 02:23 . 2009-10-14 02:23 -------- d-----w- c:\documents and settings\Administrator\Application Data\Logitech

2009-10-14 02:23 . 2007-11-30 11:18 26488 ----a-w- c:\windows\system32\spupdsvc.exe

2009-10-14 02:22 . 2007-04-11 13:33 1419024 ----a-w- c:\windows\system32\WdfCoInstaller01005.dll

2009-10-14 02:22 . 2007-04-11 13:32 36112 ----a-w- c:\windows\system32\drivers\LMouFilt.Sys

2009-10-14 02:22 . 2007-04-11 13:32 34832 ----a-w- c:\windows\system32\drivers\LHidFilt.Sys

2009-10-14 02:22 . 2007-04-11 13:32 125712 ----a-w- c:\windows\KHALMNPR.Exe

2009-10-14 02:22 . 2007-04-23 02:00 69632 ----a-w- c:\windows\system32\KemXML.dll

2009-10-14 02:22 . 2007-04-23 02:00 163840 ----a-w- c:\windows\system32\kemutb.dll

2009-10-14 02:22 . 2007-04-23 02:00 135168 ----a-w- c:\windows\system32\KemUtil.dll

2009-10-14 02:22 . 2007-04-23 02:00 110592 ----a-w- c:\windows\system32\KemWnd.dll

2009-10-14 02:22 . 2009-10-14 02:22 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Logitech

2009-10-14 02:22 . 2009-10-14 02:22 -------- d-----w- c:\program files\Common Files\Logitech

2009-10-14 02:21 . 2009-10-14 02:21 -------- d-----w- c:\documents and settings\Administrator\Application Data\InstallShield

2009-10-14 02:16 . 2005-09-14 09:24 179200 ----a-r- c:\windows\system32\drivers\e1e5132.sys

2009-10-14 02:16 . 2005-07-06 08:12 163840 ----a-r- c:\windows\system32\e1000msg.dll

2009-10-14 02:16 . 2005-06-23 02:59 17408 ----a-r- c:\windows\system32\EtCo32.dll

2009-10-14 02:16 . 2005-06-15 05:27 126976 ----a-r- c:\windows\system32\Prounstl.exe

2009-10-14 02:16 . 2005-06-14 14:08 20480 ----a-r- c:\windows\system32\NicCo32.dll

2009-10-14 02:16 . 2005-05-18 23:28 21504 ----a-r- c:\windows\system32\NicIn32.dll

2009-10-14 02:14 . 2005-10-31 10:17 135168 ------r- c:\windows\system32\RtlCPAPI.dll

2009-10-14 02:14 . 2005-07-15 08:48 40960 ------r- c:\windows\system32\ChCfg.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-14 12:55 . 2009-10-13 15:48 -------- d-----w- c:\program files\ATI Technologies

2009-10-14 12:04 . 2009-10-13 15:48 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-10-14 12:03 . 2009-10-13 16:25 -------- d-----w- c:\program files\U.S. Robotics

2009-10-14 02:23 . 2009-10-14 02:23 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf

2009-10-14 02:23 . 2009-10-14 02:23 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf

2009-10-14 02:23 . 2009-10-14 02:23 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2009-10-13 21:04 . 2009-10-13 16:24 -------- d-----w- c:\program files\Fichiers communs

2009-10-13 18:04 . 2009-10-13 16:05 -------- d-----w- c:\program files\Intel

2009-10-13 18:00 . 2009-10-14 17:05 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-10-13 16:39 . 2009-10-13 16:39 -------- d-----w- c:\program files\Logitech

2009-10-13 15:39 . 2009-10-13 15:39 -------- d-----w- c:\program files\microsoft frontpage

2009-10-13 15:34 . 2009-10-13 15:34 -------- d-----w- c:\program files\Services en ligne

2009-08-16 15:08 . 2009-10-14 17:05 178176 ----a-w- c:\windows\system32\unrar.dll

2009-08-14 04:27 . 2007-06-27 01:58 4485632 ----a-w- c:\windows\system32\drivers\ati2mtag.sys

2009-08-14 02:27 . 2007-06-27 01:58 345600 ----a-w- c:\windows\system32\ati2dvag.dll

2009-08-14 02:10 . 2007-06-27 01:51 204800 ----a-w- c:\windows\system32\atipdlxx.dll

2009-08-14 02:10 . 2007-06-27 01:51 155648 ----a-w- c:\windows\system32\Oemdspif.dll

2009-08-14 02:09 . 2007-06-27 01:51 95744 ----a-w- c:\windows\system32\Ati2mdxx.exe

2009-08-14 02:09 . 2007-06-27 01:50 43520 ----a-w- c:\windows\system32\ati2edxx.dll

2009-08-14 02:09 . 2007-06-27 01:50 155648 ----a-w- c:\windows\system32\ati2evxx.dll

2009-08-14 02:08 . 2007-06-27 01:49 602112 ----a-w- c:\windows\system32\ati2evxx.exe

2009-08-14 02:06 . 2007-06-27 01:48 53248 ----a-w- c:\windows\system32\ATIDDC.DLL

2009-08-14 01:58 . 2007-06-27 01:41 3492576 ----a-w- c:\windows\system32\ati3duag.dll

2009-08-14 01:47 . 2009-08-14 01:47 12959744 ----a-w- c:\windows\system32\atioglxx.dll

2009-08-14 01:42 . 2007-06-27 01:31 2081920 ----a-w- c:\windows\system32\ativvaxx.dll

2009-08-14 01:25 . 2009-08-14 01:25 49664 ----a-w- c:\windows\system32\atimpc32.dll

2009-08-14 01:25 . 2009-08-14 01:25 49664 ----a-w- c:\windows\system32\amdpcom32.dll

2009-08-14 01:21 . 2007-06-27 01:17 561152 ----a-w- c:\windows\system32\atikvmag.dll

2009-08-14 01:21 . 2009-08-14 01:21 45056 ----a-w- c:\windows\system32\aticalrt.dll

2009-08-14 01:20 . 2009-08-14 01:20 45056 ----a-w- c:\windows\system32\aticalcl.dll

2009-08-14 01:19 . 2009-08-14 01:19 3469312 ----a-w- c:\windows\system32\aticaldd.dll

2009-08-14 01:19 . 2009-08-14 01:19 163840 ----a-w- c:\windows\system32\atiadlxx.dll

2009-08-14 01:18 . 2007-06-27 01:16 17408 ----a-w- c:\windows\system32\atitvo32.dll

2009-08-14 01:17 . 2007-06-27 01:15 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll

2009-08-14 01:17 . 2007-06-27 01:14 376832 ----a-w- c:\windows\system32\atiok3x2.dll

2009-08-14 01:12 . 2007-06-27 01:10 614400 ----a-w- c:\windows\system32\ati2cqag.dll

.

 

------- Sigcheck -------

 

[-] 2008-05-03 . 37D8387CBD4437C55F454209BE10EF11 . 361344 . . [5.1.2600.5508] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2008-05-03 . 486B984A82EF507C72A4C010852BF06F . 1103360 . . [6.00.2900.5508] . . c:\windows\explorer.exe

 

[-] 2008-05-03 . E5A092DB65125A62AF9BCB48754166E2 . 84992 . . [5.1.2600.5508] . . c:\windows\system32\ctfmon.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3961680]

"SUPERAntiSpyware"="e:\a_disque logiciel\Program Files\Super anti spyware\SUPERAntiSpyware.exe" [2009-10-12 2069744]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-05-03 84992]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-14 227104]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 172032]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 487424]

"iTunesHelper"="e:\a_disque logiciel\Program Files\iTunes\iTunesHelper.exe" [2009-09-21 383264]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1385808]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-04-04 16120832]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 125712]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-05-03 99840]

 

c:\documents and settings\All Users.WINDOWS\Start Menu\Programs\Startup\

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-10-13 774144]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableCAD"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"StartMenuFavorites"= 0 (0x0)

"Start_ShowMyComputer"= 1 (0x1)

"Start_ShowMyDocs"= 1 (0x1)

"Start_ShowMyMusic"= 0 (0x0)

"Start_ShowRun"= 1 (0x1)

"Start_ShowSearch"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\a_disque logiciel\Program Files\Super anti spyware\SASSEH.DLL" [2008-05-13 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21 548352 ----a-w- e:\a_disque logiciel\Program Files\Super anti spyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Logitech\\SetPoint\\LULnchr.exe"=

"c:\\WINDOWS\\KHALMNPR.EXE"=

"c:\\WINDOWS\\RTHDCPL.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"e:\\a_DISQUE LOGICIEL\\Program Files\\iTunes\\iTunes.exe"=

"e:\\a_DISQUE LOGICIEL\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\WINDOWS\\system32\\Ati2mdxx.exe"=

"c:\\WINDOWS\\system32\\regsvr32.exe"=

"c:\\WINDOWS\\system32\\msiexec.exe"=

"c:\\Program Files\\QuickTime\\QTTask.exe"=

"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=

"c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe"=

"c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe"=

"c:\\PROGRA~1\\COMMON~1\\MICROS~1\\DW\\DW20.EXE"=

"c:\\Program Files\\iPod\\bin\\iPodService.exe"=

"c:\\Program Files\\Google\\Update\\1.2.183.7\\GoogleCrashHandler.exe"=

"e:\\a_DISQUE LOGICIEL\\Program Files\\iTunes\\iTunesHelper.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=

"c:\\WINDOWS\\system32\\taskmgr.exe"=

"c:\\Program Files\\Common Files\\Logitech\\KhalShared\\KHALMNPR.EXE"=

"c:\\WINDOWS\\system32\\cmd.exe"=

"c:\\WINDOWS\\TEMP\\windadx.exe"=

 

R1 SASDIFSV;SASDIFSV;e:\a_disque logiciel\Program Files\Super anti spyware\sasdifsv.sys [10/12/2009 8:24 PM 9968]

R1 SASKUTIL;SASKUTIL;e:\a_disque logiciel\Program Files\Super anti spyware\SASKUTIL.SYS [10/12/2009 8:24 PM 74480]

R3 SASENUM;SASENUM;e:\a_disque logiciel\Program Files\Super anti spyware\SASENUM.SYS [10/12/2009 8:24 PM 7408]

S0 pnp680;pnp680;c:\windows\system32\drivers\pnp680.sys [5/3/2008 1:00 PM 66736]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/15/2009 3:51 PM 206832]

S3 SysProtDrv.sys;SysProtDrv.sys;c:\documents and settings\Administrator\Desktop\SysProt\SysProtDrv.sys [10/26/2009 1:50 PM 44288]

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - mbr

.

Contents of the 'Scheduled Tasks' folder

 

2009-10-14 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2009-10-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-15 14:50]

 

2009-10-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-15 14:50]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mWindow Title =

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\6s4re0uj.default\

FF - prefs.js: browser.startup.homepage - www.google.be/fr

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: e:\a_disque logiciel\Program Files\iTunes\Mozilla Plugins\npitunes.dll

FF - plugin: e:\a_disque logiciel\Program Files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: e:\a_disque logiciel\Program Files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

 

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

.

- - - - ORPHANS REMOVED - - - -

 

AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-28 20:30

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(848)

e:\a_disque logiciel\Program Files\Super anti spyware\SASWINLO.dll

c:\windows\system32\Ati2evxx.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wscntfy.exe

c:\windows\TEMP\windadx.exe

c:\combofix\CF11668.exe

c:\program files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

c:\program files\iPod\bin\iPodService.exe

c:\combofix\PEV.cfxxe

.

**************************************************************************

.

Completion time: 2009-10-28 20:36 - machine was rebooted

ComboFix-quarantined-files.txt 2009-10-28 19:36

 

Pre-Run: 14.265.778.176 bytes free

Post-Run: 13.627.289.600 bytes free

 

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin

 

- - End Of File - - DD8FA3B2DE3A204C3022409B2A5253A6

Modifié le 28 octobre 2009 par isalou95

[isalou95]

Une fois le log posté, j'ai tenté le coup et ai relancé c:\explorer.exe (donc la copie de mon mari), et pour le moment ça fonctionne...

J'espère que je ne suis pas en train de faire des bêtises...

 

Isaline

[pear]

Bonne inspiration!

Vous arrivez au bout

 

Mais il vous reste quelques bricoles:

 

c:\windows\system32\mmc.exe . . . is infected!!

 

[-] 2008-05-03 . 37D8387CBD4437C55F454209BE10EF11 . 361344 . . [5.1.2600.5508] . . c:\windows\system32\drivers\tcpip.sys

 

[-] 2008-05-03 . E5A092DB65125A62AF9BCB48754166E2 . 84992 . . [5.1.2600.5508] . . c:\windows\system32\ctfmon.exe

Le signe - signifie que ces fichiers ne sont pas conformes.

Je pense donc que le plus simple est de faire la réparation que je vous ai suggérée pour mettre tout cela en bon ordre.

Cela vous prendra environ 30 minutes sans influence sur vos programmes et données.

Vous aurez seulement à réinstaller les updates Windows.

[isalou95]

Bonjour,

 

Alors il ne m'a pas proposé de réparation... Oui je sais, ce n'est pas une version officielle (mais j'y repasse bientôt), et il m'a donc juste réinstallé windows, au dessus de l'autre... Au dessus voulant dire que j'ai encore accès à mes docs and settings d'avant. En soit pas de soucis pour mes fichiers perso vu que j'ai deux disques séparés, mais quand même pas ce qui était prévu...

Je me retrouve dans mon "nouveau" windows : je mets le driver carte éthernet, je télécharge antivir. Il l'installe correctement, mais ne veut pas faire la mise à jour (au bout de 8 min aucun téléchargement de commencer).

Ayant un doute sur .exe se trouvant dans mon disque de données (donc pas celui ou se trouve windows), je me dit que je vais tous aller les supprimer. Quand je suis rentrée dans mon dossier "logiciel", antivir a réagit : quasi tous mes .exe contiennent le code du w32/Sality.Y d'après lui. Je les ais quasi tous supprimés avec antivir (gardés deux en quarantaine pour le nom...) et ai viré le reste manuellement.

Mais rebellote dans mon C: (et donc des restes du précédent windows) ; plusieurs .exe infecté de la même chose. Je les ai mis en quarantaine...

 

Désolée, je n'ai suivi le plan voulu, mais bon... voilà où j'en suis... Je ne vais pas réinstaller trop de choses au cas où vous me dites qu'il faut reformater ou autre...

J'ai lancé un scan antivir quand même, même si je n'ai pas pu faire la mise à jour. Je me suis dit qu'il avait quand même repéré sality...

 

Merci encore pour tout,

Isaline

[pear]

Sality est un virus qui se proprage sur votre ordinateur en infectant les fichiers executables (fichiers .exe).

Si vous êtes infectés je vous conseille de démarrer le minimum de programme afin de limiter la propagation du virus.

Attention selon l'étendue de l'infection, la seule solution fiable pour se débarrasser du virus ne peut-être que le formatage.

La première chose à faire est de sauvegarder les données.Je dis bien les données, pas les logiciels puisqu'ils sont vérolés.

 

ON va tenter un nettoyage, mais sans garantie de réussite.Tout dépend de l'étendue de l'infection.

 

 

 

 

 

1)On commence par ceci:La suppression des rootkits trovés précédemment:

 

 

Télécharger The Avenger par Swandog46 sur le Bureau.

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau:

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

 

Drivers to disable:

hmrmqn

 

drivers to delete:

C:\WINDOWS\system32\drivers\hmrmqn.sys

 

Files to Delete:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

 

Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

***Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

* Sous "Script file to execute" choisir "Input Script Manually".

* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"

* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).

* Cliquer Done

* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script

cliquer sur OK pour redémarrer

 

 

 

***The Avenger va automatiquement faire ce qui suit:

 

* Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)

* Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.

* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici : C:\avenger\backup.zip.

 

 

2) on porcéde àun pemier nettoyage:

 

SCANNER AVEC AntiVirus Power Tool

 

Télécharger Kasperky AVP Tool sur le Bureau

Désactivez provisoirement votre Antivirus actuel.

Connecter éventuellement les clés USB et disques externes.

Le scan va s'effectuer en Mode Sans Echec: Imprimez cette procédure auparavant.

Redémarrer en mode sans échec .

Double cliquer sur"setup_7.0xxxxx"

A la question "Do you want to continue installation?"

Répondre"Oui"

Cliquer sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur le Bureau dans un dossier "Kaspersky Lab Tool"

L'outil se lance tout seul:

Cocher toutes les cases dans l'onglet "Automatic Scan".

Cliquer ensuite sur "Security Level": une fenêtre de configuration s'ouvre:

paramètrer le scanner comme sur l'image:

Valider par "Apply" puis "OK"

L'outil est maintenant configuré:

Dans la fenêtre principale, cliquer sur "Scan".

une fenêtre indiqye la progression du balayage en pourcentage.

A la fin du scan, AVP Tool signalera les objets infectés par l'intermédiaire d'une pop-up:

cocher alors "Apply to all" et cliquer sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:

Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés:

ils apparaissent en rouge dans la liste:

cliquer alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepter en cliquant sur "OK"

[Dans l'onglet "Events" de la fenêtre de progression du scan, décocher "Show all events"

Cliquer ensuite sur "Reports" puis "Save to file" et enregistrer le rapport sur le Bureau sous le nom Rapport AVP TOOL

Fermer les fenêtres d'AVP Tool:

un message apparaît proposant de désinstaller le logiciel: accepter "YES"

Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:

A la question "Would you like to restart now", répondre"OUI" et redémarrer en Mode normal.

[*] Poste le contenu du rapport dans ta prochaine réponse

 

[/color]

 

 

Nettoyezles fichiers temporaires:

Télécharger AtfCleaner

et lancez le en tant qu'Administrateur

Pour activer la commande "Exécuter en tant que "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur Paramètres avancés.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

 

Pour activer la commande" Exécuter en tant que" sur des objets qui ne sont pas des raccourcis :

1. Appuyez sur la touche Maj et maintenez-la enfoncée.

2. Cliquez avec le bouton droit sur l'objet que vous souhaitez ouvrir.

3. Cliquez sur Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, cliquez sur l'option" L'utilisateur suivant et tapez les références du nom d'utilisateur et mot de passe."

Si vous n'avez pas de mot de passe , validez

 

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

 

Soyez très attentive à ce que vous faites et bonne chance.

[isalou95]

Bonjour,

 

Je vais faire tout ça, mais première déviation : quand j'ouvre avenger, j'ai un "input script here" et non pas d'icône en forme de loupe ou encore de feu vert. Après le input script here, j'ai deux options en dessous : scan for rootkits et automatically disable any rootkkits found...

Je colle le script la dedans et appuie ensuite sur execute ?

 

Aussi quand vous me dites de sauvergarder mes données, vous penser que je dois aussi formater mon DD de données, ou bien juste supprimer tous mes .exe du DD sera suffisant ?

 

Isaline

Modifié le 29 octobre 2009 par isalou95

[pear]

Je colle le script la dedans et appuie ensuite sur execute ?

 

Oui.Mais dans votre cas, il ne faut pas cocher scan for rookits.

 

Aussi quand vous me dites de sauvergarder mes données, vous penser que je dois aussi formater mon DD de données, ou bien juste supprimer tous mes .exe du DD sera suffisant ?

 

Dans mon esprit, c'est sauvegarder sur dvd ou cd selo la taille des fichiers (Photos, videos, compta etc..)

 

Normalement le scan Avp s'occupera (en partie) de vos exe.Ne vous en occupez pas pour l'instant.

[isalou95]

Merci pour tout !

Je crois que je vais prendre l'option safe, mais cela va prendre pas mal de temps à sauvergarder...

Ca devra donc attendre une semaine : je pars cet après midi pour une semaine en Angleterre, sans mon ordi. Je suppose que éteint je ne risque pas de propagation du virus

 

Je ferais un up du post quand je reviendrais et que tous ces scans seront finis !

Merci vraiment pour votre aide très précieuse, et surtout pour votre temps !

 

Isaline

[pear]

Ok.Bon voyage.