le pc s'eteint

[jaromir]

Ce premier, TR/Crypt.ZPACK.Gen,c'est du domaine Usbfix.

 

On verra autrement pour les 2 autres:

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller

Double clic sur le raccourci UsbFix sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

 

 

Ei si vous utilisez des clés Usb baladeuses entre diverses machines , chez vous ou en dehors,

Utilisez cette protection:

 

Télécharger Sécurisation de Windows contre les infections par supports amovibles USB-Set de Loup blanc sur le Bureau.

Sous Vista, Exécuter en tant qu'Administrateur

Double-clic sur USB-set.exe pour l'installer

 

il est maintenant possible de paramétrer précisément les valeur de NoDriveTypeAutorun et de NoDriveAutorun.

Par exemple, vous pouvez autoriser la fonction Autorun sur les lecteurs CD/DVD (NoDriveTypeAutorun) et choisir lequel sera autorisé (NoDriveAutorun).

Cliquer sur l'onglet Configuration Autorun

Dans la partie NoDriveTypeAutorun, cliquer sur Tous décochés dans Utilisateur courant (à gauche), et Tous décochés dans Tous les utilisateurs (à droite)

Dans la partie NoDriveAutorun, cliquer sur Tous décochés dans Utilisateur courant (à gauche), et Tous décochés dans Tous les utilisateurs (à droite)

Dans Inhiber la fonction Autorun, vérifier que la case Inhibé soit sélectionnée sinon, sélectionnez-la

et de même Dans HonorAutoRunSetting,que la case Activé soit sélectionnée.

Si elle est indiquée Non configuré et qu'aucune mise à jour n'apparaît dans la fenêtre blanche à droite de HonorAutoRunSetting, cliquer sur Téléchargement de la mise à jour KB967715 (XP) et suivre les instructions d'installation de la mise à jour.

Ensuite relancer l'outil, et continuer

Cliquer sur Enregistrer les modifications puis sur Actualiser la page.

Dans l'onglet Etat général, s'assurer que toutes les fonctions de la partie Réglages des fonctions Autorun soit vertes. Sinon, reprendre la partie qui ne l'est pas, comme précédemment.

Relancez Usb-Set

Nettoyage des anciens supports non connectés et de la désactivation de la reconnaissance des nouveaux périphériques de stockage USB

Cette fonction est surtout utile dans les cas de connexions diverses et par des utilisateurs différents, mais n'est pas nécessaire dans un usage courant

Avant de désactiver la reconnaissance des nouveaux périphériques, il faut nettoyer la base de registre de tous ceux qui ont été inscrit précédemment.

L'idéal est de nettoyer tous les supports, puis de reconnecter ceux que l'on désir conserver actif et pour finir désactiver la fonction de reconnaissance.

On peut sans problème supprimer tous les périphériques détectés, ils seront réinstallés sans aucune difficulté.

Pour un nettoyage complet, cocher les quatre cases correspondant chacune à élément ajouté pour chaque périphérique installé :

Pour chaque support installé, on trouve :

une ligne périphérique

une ligne disque

Une ou plusieurs ligne Volume (cela dépend du nombre de partitions sur le support)

Une ou plusieurs clé de registre correspondants aux volumes monté et aux points de montage.

Pour ce qui est des MountPoints2, il est possible que certains ne soient pas désinstallés par la fonction de nettoyage, c'est pour ça que cette section est toujours présente.

 

Vacciner tous les lecteurs présents ou installer la vaccination automatique de tous les support insérés sur le PC

 

désolé, je coince:une fois que j'ai enregisté sous le nom regis.reg je vais sur le bureau et je n'ai rien a fusionner

[pear]

Si vous ne pouvez pas fusionner ou que vous avez un message du genre "n'est pas un fichier de régistre valide",

C'est parce que vous avez fait une erreur.

 

Les plus courantes:

 

Il faut une ligne blanche après Windows Registry Editor mais pas avant

Le fichier doit s'appeler regis.reg et non regis.reg.txt

Il faut une ligne blanche après le texte en vert

Dans la case Type vous devez choisir "Tous les Fichiers

 

Mais ce n'est pas vital.

 

Si vous coincez,passez directement à Usbfix.

[jaromir]

encore un pepin:quand je telecharge usb.fix, il fige le pc au point que je ne peux plus redemarrer, je dois faire un reset.au bout de 3 reset, je me suis arrêté.

[pear]

Oh là !

 

Vous dites ne plus pouvoir démarrer ?

Vous postez d'une autre machine ?

[jaromir]

Oh là !

 

Vous dites ne plus pouvoir démarrer ?

Vous postez d'une autre machine ?

non le pc se fige, j'essaie demarrer il ne se passe rien,j'essaie par le gestionnaire des taches, il ne s'ouvre pas, jéteins la tour puis je rallume.

[pear]

Je crois de plus en plus à un problème matériel.

 

Je vous avais demandé une vérification du dump après Bsod:

 

Ecran bleu et reboot

Prérequis:

Poste de travail->Propriétés->Avancé->Paramères->Démarrage et Récupération

Vérifier qu' Image partielle est sélectionnée sinon il n'y aura pas de minidump

Et que Redémarrer automatiquement soit décoché, ce qui vous permetra de lire l'écran bleu

 

Télécharger BlueScreenView de Nirsoft

et le patch Français

Décompressez les deux dans un même dossier.

Sélectionner Exécuter en tant qu'administrateur

Cliquer ->Démarrer->Rechercher *.dump

Cliquez sur le dernier DUMP réalisé.

La liste du bas affiche alors la liste de tous les drivers chargés en mémoire.

Les pilotes directement impliqués dans le crash sont affichés sur fond rose.

Double-cliquez dessus pour obtenir plus de détails et notamment obtenir le nom du fichier .SYS ou .DLL du driver afin de vérifier sur Internet s'il en existe des versions plus récentes, ce qui est le but de la manoeuvre.

 

Développer Options->Options du panneau Inférieur,

Cochez Ecran Bleu Style XP pour voir le BSOD initial

[jaromir]

bonjour pear ,

il y avait 3 lingnes roses, en double cliquant une pa une voila les resultats:

C:\WINDOWS\System32\drivers\jcommha.sys

C:\WINDOWS\System32\drivers\ntokrnl.exe

C:\WINDOWS\System32\drivers\tcpip.exe

que faut-il faire?

Modifié le 5 novembre 2010 par jaromir

[pear]

Bonsoir,

 

Le 1° a été mis en quarantaine par antivir, les 2 autres seraient probablement patchés.

 

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

 

Pour renommer:

Clic droit sur Télécharger combofix.exe de sUBs

Choisir "Enregistrer la cible du lien..sous....sally.com

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->sally.com

Cliquez enfin sur -> Enregistrer

Lancez sally.com et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

 

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée[/color=#FF0000]

 

C'est pourquoi il vous est vivement conseillé d'installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire->Sur PCA,En Français

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Vous avez téléchargé Combofix.

*Double cliquer sur bitruc.com pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[jaromir]

bonjour pear,

voici le résultat:

ComboFix 10-11-04.08 - Samy 05/11/2010 18:29:05.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1983.654 [GMT 1:00]

Lancé depuis: c:\documents and settings\Samy\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-10-05 au 2010-11-05 ))))))))))))))))))))))))))))))))))))

.

 

2010-11-05 07:32 . 2010-11-05 08:23 -------- d-----w- C:\Kill'em

2010-11-04 08:11 . 2010-11-05 08:37 -------- d-----w- c:\program files\List_Kill'em

2010-11-04 08:06 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-04 08:06 . 2010-11-04 08:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-11-04 08:06 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-11-02 17:51 . 2010-11-02 17:51 -------- d-----w- c:\documents and settings\Samy\Application Data\Avira

2010-11-02 17:31 . 2010-08-17 12:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-11-02 17:31 . 2010-08-17 12:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-11-02 17:31 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-11-02 17:31 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-11-02 17:31 . 2010-11-02 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-11-02 17:31 . 2010-11-02 17:51 -------- d-----w- c:\program files\Avira

2010-11-02 14:56 . 2010-11-02 14:56 -------- d-----w- c:\windows\system32\wbem\Repository

2010-11-02 14:38 . 2010-11-02 14:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

2010-11-02 14:16 . 2010-11-02 17:50 -------- d-----w- c:\windows\Internet Logs

2010-11-02 13:14 . 2010-11-02 13:14 -------- d-----w- c:\documents and settings\Samy\Local Settings\Application Data\Symantec

2010-11-02 13:12 . 2010-11-02 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec

2010-10-28 11:12 . 2010-11-03 09:48 -------- d-----w- C:\Ad-Remover

2010-10-28 09:59 . 2010-10-28 09:59 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-10-28 09:53 . 2010-11-05 17:46 759296 ----a-w- c:\windows\system32\drivers\jcommha.sys

2010-10-28 09:53 . 2010-11-05 10:27 -------- d-----w- c:\documents and settings\Samy\Local Settings\Application Data\FocusedPick

2010-10-28 09:53 . 2010-10-28 09:55 -------- d-----w- c:\documents and settings\Samy\Application Data\4A425D3BA8D5FE621384DA6778DF7936

2010-10-27 16:22 . 2010-10-27 16:22 -------- d-----w- c:\documents and settings\Samy\Local Settings\Application Data\Downloaded Installations

2010-10-26 16:27 . 2010-10-26 16:28 -------- d-----w- c:\program files\Defraggler

2010-10-26 07:48 . 2010-10-26 07:48 -------- d-----w- c:\program files\CCleaner

2010-10-21 13:25 . 2010-10-21 13:25 -------- d-----w- c:\documents and settings\Samy\Application Data\Canneverbe Limited

2010-10-21 13:25 . 2010-10-21 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited

2010-10-21 13:24 . 2009-11-12 12:48 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys

2010-10-21 13:24 . 2010-10-21 13:24 -------- d-----w- c:\program files\CDBurnerXP

2010-10-21 12:49 . 2010-10-21 12:49 -------- d-----w- c:\program files\Fichiers communs\Ahead

2010-10-21 12:49 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

2010-10-21 12:49 . 2010-10-21 12:49 -------- d-----w- c:\program files\Ahead

2010-10-21 10:12 . 2010-10-21 10:12 -------- d-----w- c:\program files\Windows Sidebar

2010-10-21 09:53 . 2010-11-02 18:04 -------- d-----w- c:\program files\Fichiers communs\LightScribe(2)

2010-10-20 18:37 . 2010-11-03 15:18 -------- d-----w- c:\documents and settings\Samy\Application Data\vlc

2010-10-15 09:05 . 2010-10-20 18:37 -------- d-----w- c:\program files\Cryptolib CPS

2010-10-15 09:05 . 2010-10-15 09:05 -------- d-----w- c:\documents and settings\All Users\Application Data\santesocial

2010-10-15 09:04 . 2010-10-20 18:37 -------- d-----w- c:\program files\srvsvcnam

2010-10-14 15:41 . 2010-10-14 15:41 -------- d-----w- c:\documents and settings\Samy\Local Settings\Application Data\Nero

2010-10-14 15:33 . 2010-10-21 12:31 -------- d-----w- c:\program files\Nero

2010-10-14 07:04 . 2008-04-13 18:33 221184 ----a-w- c:\windows\system32\wmpns.dll

2010-10-13 22:25 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll

2010-10-13 22:25 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 10:23 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53 . 2004-08-05 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53 . 2004-08-05 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-10 05:50 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-09-10 05:50 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-09-10 05:50 . 2004-08-05 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl

2010-09-01 11:51 . 2004-08-05 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:55 . 2004-08-05 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys

2010-08-27 08:02 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2010-08-27 05:58 . 2004-08-05 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll

2010-08-26 13:39 . 2004-08-05 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys

2010-08-23 16:12 . 2004-08-05 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll

2010-08-17 13:17 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe

2010-08-16 08:44 . 2004-08-05 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll

2009-08-20 09:03 . 2009-08-20 09:03 9817600 ----a-w- c:\program files\openofficeorg31.msi

2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe

2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0773E380-83E4-45a5-A62F-C79CC94CE921}]

2010-10-28 09:53 148480 ----a-w- c:\documents and settings\Samy\Local Settings\Application Data\FocusedPick\focusedpiie.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]

@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"

[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]

2008-06-10 10:29 97064 ----a-w- c:\program files\Nero\Nero8\InCD\NBHShx.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-11-26 1060864]

"VTTimer"="VTTimer.exe" [2005-03-11 53248]

"VTTrayp"="VTtrayp.exe" [2005-11-04 163840]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 16264192]

"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-07-17 364544]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\Samy\Menu D‚marrer\Programmes\D‚marrage\

Vidal CD.lnk - c:\program files\Vidal\VidalCD\VidalCD.exe [2010-5-11 223232]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DynDNS Updater Tray Icon.lnk - c:\program files\DynDNS Updater\DynTray.exe [2010-9-28 91504]

Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Vidal\\VidalCD\\system\\runtime\\bin\\java.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\UltraVNC\\winvnc.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/11/2010 18:31 135336]

R2 DynDNS Updater;DynDNS Updater;c:\program files\DynDNS Updater\DynUpSvc.exe [28/09/2010 11:04 103800]

R2 NeroRegInCDSrv;Nero Registry InCD Service;c:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [10/06/2008 11:29 53032]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12:31 92008]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [12/03/2009 08:32 6016]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - ALERTER

*NewlyCreated* - EAPHOST

*NewlyCreated* - IP6FW

*Deregistered* - jcommha

.

Contenu du dossier 'Tâches planifiées'

 

2010-11-04 c:\windows\Tasks\GlaryInitialize.job

- c:\program files\Glary Utilities\initialize.exe [2009-06-03 19:55]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_8971.cab

FF - ProfilePath - c:\documents and settings\Samy\Application Data\Mozilla\Firefox\Profiles\jciurt7c.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/

FF - component: c:\documents and settings\Samy\Application Data\Mozilla\Firefox\Profiles\jciurt7c.default\extensions\{9D60CB52-FE9B-439d-926C-B0EE9F19EDC4}\components\FocusedPFF.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-11-05 18:45

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jcommha]

 

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,7d,e9,04,01,3d,47,2f,4e,ac,5e,e6,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,7d,e9,04,01,3d,47,2f,4e,ac,5e,e6,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(848)

c:\windows\system32\relog_ap.dll

 

- - - - - - - > 'explorer.exe'(1484)

c:\program files\Nero\Nero8\InCD\NBHShx.dll

c:\program files\Nero\Nero8\InCD\NBHStr.dll

c:\program files\Fichiers communs\Nero\Shared\NL3\AdvrCntr3.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

Heure de fin: 2010-11-05 18:51:27

ComboFix-quarantined-files.txt 2010-11-05 17:51

ComboFix2.txt 2010-11-05 13:18

 

Avant-CF: 57 033 732 096 octets libres

Après-CF: 57 050 255 360 octets libres

 

- - End Of File - - A696A8DAB23F555EA708083023ED3B81

[pear]

Bonsoir,

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

jcommha

File::

c:\windows\system32\drivers\jcommha.sys

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt