Fenêtre CID voir plus...

[Moondarim]

Bonjour,

 

Je viens donner des nouvelles concernant mon problème. Il semble que le problème persiste toujours, desfois je tombe sur un fenêtre de pub d'autre fois il ne charge qu'une fenêtre vide. Mais ce qui est le plus embêtant c'est l'apparition de crash de service que je rencontre depuis hier.

Client DHCP ou même le service Audio ou encore le journal d'évènement avec toujours le même SFFXHAPO.dll en nom de module par défaut et le même message.

Signature du problème :

Nom d’événement de problème: APPCRASH

Nom de l’application: svchost.exe_Dhcp

Version de l’application: 6.0.6001.18000

Horodatage de l'application: 47918b89

Nom du module par défaut: SFFXHAPO.dll

Version du module par défaut: 1.0.0.25

Horodateur du module par défaut: 46b27aa8

Code de l’exception: c0000005

Décalage de l’exception: 00003fbd

Version du système: 6.0.6002.2.2.0.256.1

Identificateur de paramètres régionaux: 1036

Information supplémentaire n° 1: fd00

Information supplémentaire n° 2: ea6f5fe8924aaa756324d57f87834160

Information supplémentaire n° 3: fd00

Information supplémentaire n° 4: ea6f5fe8924aaa756324d57f87834160

Signature du problème :

Nom d’événement de problème: APPCRASH

Nom de l’application: svchost.exe_Audiosrv

Version de l’application: 6.0.6001.18000

Horodatage de l'application: 47918b89

Nom du module par défaut: SFFXHAPO.dll

Version du module par défaut: 1.0.0.25

Horodateur du module par défaut: 46b27aa8

Code de l’exception: c0000005

Décalage de l’exception: 00003fbd

Version du système: 6.0.6002.2.2.0.256.1

Identificateur de paramètres régionaux: 1036

Information supplémentaire n° 1: fd00

Information supplémentaire n° 2: ea6f5fe8924aaa756324d57f87834160

Information supplémentaire n° 3: fd00

Information supplémentaire n° 4: ea6f5fe8924aaa756324d57f87834160

 

Signature du problème :

Nom d’événement de problème: APPCRASH

Nom de l’application: svchost.exe_wscsvc

Version de l’application: 6.0.6001.18000

Horodatage de l'application: 47918b89

Nom du module par défaut: SFFXHAPO.dll

Version du module par défaut: 1.0.0.25

Horodateur du module par défaut: 46b27aa8

Code de l’exception: c0000005

Décalage de l’exception: 00003fbd

Version du système: 6.0.6002.2.2.0.256.1

Identificateur de paramètres régionaux: 1036

Information supplémentaire n° 1: fd00

Information supplémentaire n° 2: ea6f5fe8924aaa756324d57f87834160

Information supplémentaire n° 3: fd00

Information supplémentaire n° 4: ea6f5fe8924aaa756324d57f87834160

 

 

J'ai essayé de booté sur mon CD de vista pour tenter de lancer la console de récupération. Mais le problème c'est que le cd charge bien mais une fois arrivé sur le bureau c'est simple je n'ai que mon curseur et le magnifique fond d'écran bleu,vert et rien d'autre à l'écran ni console ni choix de langue ni rien. Je peux m'amuser avec mon curseur et attendre 3 jours j'ai rien qui se lance et rien qui n'apparait. Du coup je sais vraiment pas quoi faire .

Je sollicite encore une fois votre aide pour m'aider à résoudre une bonne fois pour toute mon problème. Je sais comment le faire mais j'ai pas encore les moyens d'investir pour une licence Windows Seven en attendant je dois me contenter de Vista.

Modifié le 9 janvier 2010 par Moondarim

[pear]

Bonjour,

 

La console Vista:

 

Réparation Vista sans perte

 

 

 

svchost.exe_Audiosrv

 

Problème probablement lié à votre carte son.

 

SFFXHAPO.dll->Realteck ?

 

 

 

 

Client DHCP

Nom de l'exécutable : svchost.exe

Nom interne : Dhcp

Description : Gère la configuration réseau en inscrivant et en mettant à jour les adresses IP et les noms DNS.

Il dépend de : NETBIOS sur TCP/IP - Environnement de prise en charge du réseau AFD - Pilote de protocole TCP/IP - Pilote IPSEC

Dépendent de lui : aucun

Commentaire : si vous êtes en réseau et si vous avez configuré vos adresses IP en manuel, vous pouvez laisser ce service sur "désactivé" . Ce service n'a pas d'influence pour surfer sur Internet .

Attention, ce service est obligatoire pour les utilisateurs de la FreeBox ou des lignes dégroupées, ainsi que Numericable, dans ce cas, laissez ce service en "automatique"

 

wscsvc c'est le service Centre de sécurité qui peut aussi être dsactivé.

 

Centre de sécurité

Nom de l'exécutable : svchost.exe

Nom interne : wscsvc

Description : Analyse les paramètres de sécurité et les configurations du système.

Il dépend de : RPC - Infrastructure de gestion Windows - Journal des évènements

Dépendent de lui : aucun

Commentaire : Présent uniquement sur le service Pack 2 de Windows XP. Ce service gère le firewall du SP2, les mises à jour, et vérifie que vous utilisez un antivirus. Laissez ce service en "Automatique" si vous utilisez le firewall du SP2 et les mises à jour automatiques. C'est lui qui lance des alertes de sécurité quand un programme est inconnu, etc...

; Si vous utilisez un autre firewall et un antivirus, il est préférable de "désactiver" ce service pour éviter les conflits.

[Moondarim]

Bonsoir Pear,

 

Désolé de ne pas avoir répondu plus tôt. Merci pour les informations que vous m'avez communiqué. J'ai réussi à rendre mon système de nouveau stable. Parcontre j'ai toujours la fenêtre de pub qui se lance et mon antivirus qui détecte de nouveau une tentative de redirection DNS. Je pense que c'est liée à cette fenêtre de pub.

11/01/2010 19:47:52 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:42:35 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:37:24 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:32:16 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:27:06 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:21:55 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:16:47 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:11:45 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:06:30 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

11/01/2010 19:01:20 HTTP filter file http://91.212.226.180/inst_n82.exe a variant of Win32/TrojanClicker.Delf.NHC trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

 

Je vous soumet donc une analyse Hijack dans l'espoir de trouver une solution à mon problème.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:54:08, on 11/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Program Files\ASUS\AASP\1.00.59\aaCenter.exe

C:\Windows\Explorer.EXE

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Windows Mail\WinMail.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Windows\system32\conime.exe

C:\Program Files\trend micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [WinampAgent] "E:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe

O4 - HKUS\S-1-5-18\..\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [KeyScrambler] C:\Program Files\KeyScrambler\getting_started.html (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [KeyScrambler] C:\Program Files\KeyScrambler\getting_started.html (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

O16 - DPF: {4ABB12B3-8A8B-481D-874A-93E16F930A8B} - https://members.hangame.com/common/CKKeyProInst.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D89D97A9-12C5-45E3-9353-3540761FE15C} (SealWebLaunch Control) - http://channel.dontblynk.com/Launcher/SealWebLaunch.CAB

O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Dragon Age: Origins - Application de mise à jour (DAUpdaterSvc) - BioWare - C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PS3 Media Server - Unknown owner - E:\Program Files\PS3 Media Server\win32\service\wrapper.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

 

--

End of file - 7747 bytes

[pear]

Bonjour,

 

Vous tenez le coupable.

C'est inst_n82.exe

Ce qui me surprend , c'est que mbam en vient normalement à bout, alors qu'on l'a passé en vain.

Je vous propose de recommencer ainsi:

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Notez que Rkill ne produit pas de rapport

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

Télécharger l' Edition en Français d' Avira AntiVir

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie--------------------->Configurer Antivir

Cliquer Expert mode--------------------------->Recherche:

Cocher: ------------->Selection intelligente des fichiers

Ce réglage est activé par défaut et recommandé.

 

Autres réglages:--->tout cocher

-Recherche+

Action en cas de résultat positif:

Cocher--------------->:Copier le fichier dans la quarantaine avant l'action:

Action principale....>: Réparer ( au cas ou ce serait un fichier système corrompu)

Action secondaire..>: Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

 

Antivir Mises à jour Manuelles:

 

Tutoriel:

 

 

 

Et en cas d'échec:

 

Téléchargez SystemLook sur le Bureau à partir d'un des liens ci-dessous.

Miroir de téléchargement #1

Miroir de téléchargement #2

* Double-cliquer sur SystemLook.exepour le lancer.

* Clic droit|Copier sur ce qui suit , en vert et clic droit|Coller dans la zone texte de SystemLook :

:dir

%Windows% /n*inst_n82.exe*

:file

:reg

:regfind

inst_n82.exe

* Cliquer sur le bouton Look pour démarrer l'examen.

* le Bloc-notes s'ouvrira avec le résultat de l'analyse.

Copier-coller le rapport dans la prochaine réponse.

 

Note : Le rapport peut aussi être trouvé sur le Bureau sous le nom SystemLook.txt

Modifié le 12 janvier 2010 par pear

[Moondarim]

Bonsoir,

Voilà le rapport MBAM:

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3550

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18865

 

12/01/2010 23:41:33

mbam-log-2010-01-12 (23-41-33).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 456711

Temps écoulé: 1 hour(s), 18 minute(s), 53 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fa787895-30f9-4fc7-b789-12b69aa59e7c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usxaetwj (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{fa787895-30f9-4fc7-b789-12b69aa59e7c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\windows\system32\rrozbvr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

Et voilà la suite,

 

Rapport Antivir:

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 13 janvier 2010 00:25

 

La recherche porte sur 1525403 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (Service Pack 2) [6.0.6002]

Mode Boot : Mode sans échec

Identifiant : Choucri

Nom de l'ordinateur : ORION

 

Informations de version :

BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 23:13:38

VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 23:13:38

VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 23:13:39

VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 23:13:39

VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 23:13:39

VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 23:13:39

VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 23:13:39

VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 23:13:39

VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 23:13:39

VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 23:13:39

VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 23:13:39

VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 23:13:39

VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 23:13:39

VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 23:13:40

VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 23:13:40

VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 23:13:40

VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 23:13:41

VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 23:13:41

VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 23:13:41

VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 23:13:42

VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 23:13:42

VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 23:13:43

VBASE023.VDF : 7.10.2.159 2048 Bytes 11/01/2010 23:13:43

VBASE024.VDF : 7.10.2.160 2048 Bytes 11/01/2010 23:13:43

VBASE025.VDF : 7.10.2.161 2048 Bytes 11/01/2010 23:13:43

VBASE026.VDF : 7.10.2.162 2048 Bytes 11/01/2010 23:13:43

VBASE027.VDF : 7.10.2.163 2048 Bytes 11/01/2010 23:13:43

VBASE028.VDF : 7.10.2.164 2048 Bytes 11/01/2010 23:13:43

VBASE029.VDF : 7.10.2.165 2048 Bytes 11/01/2010 23:13:43

VBASE030.VDF : 7.10.2.166 2048 Bytes 11/01/2010 23:13:43

VBASE031.VDF : 7.10.2.175 143872 Bytes 12/01/2010 23:13:43

Version du moteur : 8.2.1.134

AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52

AESCRIPT.DLL : 8.1.3.7 594296 Bytes 12/01/2010 23:13:47

AESCN.DLL : 8.1.3.0 127348 Bytes 12/01/2010 23:13:47

AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44

AERDL.DLL : 8.1.3.4 479605 Bytes 12/01/2010 23:13:46

AEPACK.DLL : 8.2.0.4 422263 Bytes 12/01/2010 23:13:46

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38

AEHEUR.DLL : 8.1.0.194 2228599 Bytes 12/01/2010 23:13:46

AEHELP.DLL : 8.1.9.0 237943 Bytes 12/01/2010 23:13:44

AEGEN.DLL : 8.1.1.83 369014 Bytes 12/01/2010 23:13:44

AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26

AECORE.DLL : 8.1.9.1 180598 Bytes 12/01/2010 23:13:44

AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Sélection manuelle

Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp

Documentation.................................: bas

Action principale.............................: réparer

Action secondaire.............................: supprimer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, E:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: marche

Recherche optimisée...........................: marche

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: élevé

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Début de la recherche : mercredi 13 janvier 2010 00:25

 

Début du contrôle des fichiers système :

Signé -> 'C:\Windows\system32\svchost.exe'

Signé -> 'C:\Windows\system32\winlogon.exe'

Signé -> 'C:\Windows\explorer.exe'

Signé -> 'C:\Windows\system32\smss.exe'

Signé -> 'C:\Windows\system32\wininet.DLL'

Signé -> 'C:\Windows\system32\wsock32.DLL'

Signé -> 'C:\Windows\system32\ws2_32.DLL'

Signé -> 'C:\Windows\system32\services.exe'

Signé -> 'C:\Windows\system32\lsass.exe'

Signé -> 'C:\Windows\system32\csrss.exe'

Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'

Signé -> 'C:\Windows\system32\spoolsv.exe'

Signé -> 'C:\Windows\system32\alg.exe'

Signé -> 'C:\Windows\system32\wuauclt.exe'

Signé -> 'C:\Windows\system32\advapi32.DLL'

Signé -> 'C:\Windows\system32\user32.DLL'

Signé -> 'C:\Windows\system32\gdi32.DLL'

Signé -> 'C:\Windows\system32\kernel32.DLL'

Signé -> 'C:\Windows\system32\ntdll.DLL'

Signé -> 'C:\Windows\system32\ntoskrnl.exe'

Signé -> 'C:\Windows\system32\ctfmon.exe'

Les fichiers système ont été contrôlés ('21' fichiers)

 

La recherche d'objets cachés commence.

Impossible d'initialiser le pilote.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'17' processus ont été contrôlés avec '17' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '38' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\multi\browser\mozilla_compareto.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bc70a5f.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\multi\browser\mozilla_navigatorjava.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 481d2498.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\multi\browser\.svn\text-base\mozilla_compareto.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c018ad0.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\multi\browser\.svn\text-base\mozilla_navigatorjava.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c0f9a20.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\creative_software_cachefolder.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bb20a63.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\hpmqc_progcolor.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bba0a61.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\ibmlotusdomino_dwa_uploadmodule.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bba0a53.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\ms06_057_webview_setslice.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4b7d0a64.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\ms08_041_snapshotviewer.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c9a73d5.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\novelliprint_executerequest.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bc30a60.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\novelliprint_getdriversettings.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c1f2e79.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\realplayer_console.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bae0a56.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\symantec_backupexec_pvcalendar.rb

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bba0a6a.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\creative_software_cachefolder.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c6e2e7c.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\hpmqc_progcolor.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c729a22.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\ibmlotusdomino_dwa_uploadmodule.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c662e4c.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\ms06_057_webview_setslice.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4ca12e7d.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\ms08_041_snapshotviewer.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4cb59a25.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\novelliprint_getdriversettings.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c0b9a21.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\realplayer_console.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c722e4f.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\AppData\Local\msf32\modules\exploits\windows\browser\.svn\text-base\symantec_backupexec_pvcalendar.rb.svn-base

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Silly.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4c729a2b.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Users\Choucri\Downloads\Winject.exe

[RESULTAT] Contient le cheval de Troie TR/Hijacker.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bbb0d77.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Windows\System32\bfabhdv.dll

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bae0ea3.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Windows\System32\config\systemprofile\Desktop\SmitfraudFix\Reboot.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F

[REMARQUE] Une copie de sécurité a été créée sous le nom 4baf0ede.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

C:\Windows\System32\config\systemprofile\Desktop\SmitfraudFix\restart.exe

[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bc00ede.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

Recherche débutant dans 'E:\' <Data>

E:\nDoors\WonderKing\OMFGZ GunZ Dll Injector v1.2.exe

[RESULTAT] Contient le cheval de Troie TR/Spy.61440.79

[REMARQUE] Une copie de sécurité a été créée sous le nom 4b931880.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

E:\nDoors\WonderKing\Winject.exe

[RESULTAT] Contient le cheval de Troie TR/Hijacker.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bbb189c.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

E:\Program Files\Ryzom\ryzom_recover.exe

[RESULTAT] Contient le cheval de Troie TR/Downloader.Gen

[REMARQUE] Une copie de sécurité a été créée sous le nom 4bc71a93.qua ( QUARANTAINE )

[REMARQUE] Fichier supprimé.

 

 

Fin de la recherche : mercredi 13 janvier 2010 02:00

Temps nécessaire: 1:34:32 Heure(s)

 

La recherche a été effectuée intégralement

 

39436 Les répertoires ont été contrôlés

985617 Des fichiers ont été contrôlés

28 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

28 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

28 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

985588 Fichiers non infectés

5218 Les archives ont été contrôlées

1 Avertissements

29 Consignes

Modifié le 13 janvier 2010 par Moondarim

[pear]

Bonjour,

 

C'est déjà positif.

 

J'attends les rapports Antivir et systemlook.

[Moondarim]

Bonjour,

J'ai posté ce matin le rapport Antivir sur le message précédent. Visiblement il a trouvé pas mal de chose.

le rapport SystemLook:

 

SystemLook v1.0 by jpshortstuff (29.08.09)

Log created at 11:29 on 13/01/2010 by Choucri (Administrator - Elevation successful)

 

========== dir ==========

 

%Windows% - Unable to find folder.

 

========== file ==========

 

========== reg ==========

 

========== regfind ==========

 

Searching for "inst_n82.exe"

No data found.

 

-=End Of File=-

Modifié le 13 janvier 2010 par Moondarim

[pear]

Oui, en effet.

J'étais passé trop vite.

 

Cela a-t-il résolu votre problème ?

 

Dans le cas contraire, pouvez vous faire une recherche sur inst_n82.exe.

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

[Moondarim]

Bonjour,

Désolé le problème est toujours présent. Le résultat de la recherche que vous m'avez soumis sur votre message précèdent n'a rien donné non plus.

Je reste à votre disposition pour tout autre procédure, en vous remerciant d'avance.

[pear]

Bonjour,

 

Tout cela est bien décevant.

 

Les développeurs de Mbam sont avertis du problème depuis le 25 dernier.

http://www.malwarebytes.org/forums/index.php?showtopic=34454

Je ne sais pas, s'ils ont trouvé un remède mais cela ne devrait pas tarder ; c'est une équpe réactive et hyper compétente

Je vous propose d'en télécharger la dernière version(1.44) , de la mettre à jour et de faire un scan complet après avoir lancé Rkill.

 

Désactiver antivirus et anti-spyware par un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil.

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Notez que Rkill ne produit pas de rapport

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

et lancez Mbam immédiatement:

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen rapide"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

Ceci permet de trouver les crack.exe dans les .zip sur tout le Poste de travail et de les rendre inoffensifs

 

Télécharger Zip_Scan (par Eric_71) et le sauvegarder sur le Bureau :

* Lancer l'outil ZSc.exe par double-clic

Recherche

* Cliquer sur le bouton "Scan"

* Scan_Zip va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection ;

* Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran , il est également sauvegardé sur le Bureau (scan.txt)

* Copier/coller le contenu intégral de ce rapport ici, dans la réponse.

* Ne cliquez pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse.

Modifié le 16 janvier 2010 par pear