[Résolu] TH dysfonctionnement = rapport HijackThis

[focj]

ComboFix 11-02-08.03 - francis 09/02/2011 12:10:14.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.250 [GMT 1:00]

Lancé depuis: c:\documents and settings\francis\Bureau\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\francis\Application Data\inst.exe

c:\program files\AskSearch\bin\DefaultSearch.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-09 au 2011-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-08 17:15 . 2011-02-08 17:16 -------- d-----w- c:\program files\SecurityCheck

2011-02-08 14:50 . 2011-02-08 14:50 -------- d-----w- c:\documents and settings\francis\Application Data\Malwarebytes

2011-02-08 14:50 . 2011-02-08 14:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-02-08 14:50 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-02-08 14:50 . 2011-02-08 15:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-02-08 14:50 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-02-08 08:57 . 2011-02-08 12:39 -------- d-----w- c:\program files\Zebinv

2011-02-08 08:35 . 2011-02-08 08:35 388608 ----a-w- c:\program files\HijackThis.exe

2011-02-08 08:23 . 2011-02-08 08:23 -------- d-----w- c:\program files\ProcessExplorer

2011-02-07 10:20 . 2011-02-07 10:20 9534792 ----a-w- c:\program files\mozilla-thunderbird_mozilla_thunderbird_3.1.7_francais_11091.exe

2011-02-05 07:15 . 2011-02-08 08:20 -------- d-----w- c:\program files\CCleaner

2011-02-02 20:06 . 2011-02-02 20:06 -------- d-----w- c:\documents and settings\francis\Application Data\Talkback

2011-02-01 10:38 . 2011-02-01 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\fssg

2011-02-01 10:24 . 2011-02-01 10:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Orange

2011-02-01 10:24 . 2011-02-01 10:37 -------- d-----w- c:\documents and settings\All Users\Application Data\f-secure

2011-02-01 10:04 . 2011-02-01 10:07 -------- d-----w- c:\documents and settings\francis\Local Settings\Application Data\Orange

2011-02-01 10:04 . 2011-02-01 10:24 -------- d-----w- c:\program files\Orange

2011-01-31 15:28 . 2011-01-31 15:28 -------- d-----w- c:\program files\Microsoft Works

2011-01-31 15:27 . 2011-01-31 15:27 -------- d-----w- c:\program files\MSBuild

2011-01-31 15:25 . 2011-01-31 15:25 -------- d-----w- c:\program files\Microsoft.NET

2011-01-31 15:20 . 2011-01-31 15:20 -------- d-----w- c:\program files\Microsoft Visual Studio 8

2011-01-31 15:19 . 2011-01-31 15:19 -------- d-----w- c:\documents and settings\francis\Local Settings\Application Data\Microsoft Help

2011-01-31 15:19 . 2011-01-31 16:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2011-01-16 09:56 . 2011-01-17 08:37 -------- d-----r- c:\program files\Skype

2011-01-11 16:18 . 2001-08-23 16:47 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll

2011-01-11 16:18 . 2001-08-23 16:47 8704 ----a-w- c:\windows\system32\kbdjpn.dll

2011-01-11 16:18 . 2001-08-23 16:47 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll

2011-01-11 16:18 . 2001-08-23 16:47 8192 ----a-w- c:\windows\system32\kbdkor.dll

2011-01-11 16:18 . 2001-08-17 21:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll

2011-01-11 16:18 . 2001-08-17 21:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll

2011-01-11 16:18 . 2001-08-17 21:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll

2011-01-11 16:18 . 2001-08-17 21:55 6144 ----a-w- c:\windows\system32\kbd106.dll

2011-01-11 16:18 . 2001-08-17 21:55 6144 ----a-w- c:\windows\system32\kbd101c.dll

2011-01-11 16:18 . 2001-08-17 21:55 6144 ----a-w- c:\windows\system32\kbd101b.dll

2011-01-11 16:18 . 2001-08-17 21:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll

2011-01-11 16:18 . 2001-08-17 21:55 5632 ----a-w- c:\windows\system32\kbd103.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-13 08:47 . 2010-10-18 18:50 38848 ----a-w- c:\windows\avastSS.scr

2011-01-13 08:47 . 2009-06-11 12:30 188216 ----a-w- c:\windows\system32\aswBoot.exe

2011-01-13 08:41 . 2009-06-11 13:34 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-01-13 08:40 . 2009-06-11 12:30 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-01-13 08:40 . 2009-06-11 12:30 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2011-01-13 08:39 . 2009-06-11 12:30 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys

2011-01-13 08:37 . 2009-06-11 12:30 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-01-13 08:37 . 2009-06-11 12:30 29392 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2011-01-13 08:37 . 2009-06-11 13:34 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-11-22 17:24 . 2010-11-22 17:24 955784 ----a-w- c:\program files\skype_skype_5.0.0.152_francais_11171.exe

2009-06-12 12:08 . 2009-06-12 12:08 1035178 ----a-w- c:\program files\dvdshrink_3.2_CSS-Free_for_ImgBurn_Fr.exe

2009-06-12 11:53 . 2009-06-12 11:53 3300289 ----a-w- c:\program files\AIDA_32_3.93_Personnal_Edition.exe

2009-06-12 11:47 . 2009-06-12 11:46 1836208 ----a-w- c:\program files\auslogics-disk-defrag_auslogics_disk_defrag_2.0.0.0_anglais_26672.exe

2009-06-12 11:34 . 2009-06-12 11:34 18722404 ----a-w- c:\program files\vlc-media-player_vlc_media_player_1.0.0_rc3_francais_10829.exe

2009-06-12 11:27 . 2009-06-12 11:27 939956 ----a-w- c:\program files\7-zip_7-zip_4.65_francais_11161.exe

2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll

2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll

2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

"Google Update"="c:\documents and settings\francis\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-12-08 136176]

"MailNotifier"="c:\program files\Orange\MailNotifier\MailNotifier.exe" [2010-11-04 634368]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IntelliType"="c:\program files\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 94208]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]

"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 335872]

"TomTomHOME.exe"="c:\program files\TomTom HOME\TomTomHOME.exe" [2007-03-14 3770024]

"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]

 

c:\documents and settings\francis\Menu D‚marrer\Programmes\D‚marrage\

Event Reminder.lnk - c:\pmw\PMREMIND.EXE [1997-11-3 254128]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-6-10 450560]

VIA RAID TOOL.lnk - c:\program files\VIA\RAID\raid_tool.exe [2009-6-10 565248]

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Orange\\OrangeUpdate\\Service\\OUCore.exe"=

 

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [10/06/2009 08:05 77312]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [11/06/2009 14:34 294608]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [11/06/2009 14:34 17744]

R2 cpuz134;cpuz134;c:\windows\system32\drivers\cpuz134_x32.sys [31/12/2010 15:39 20328]

R2 MLPTDR_B;MLPTDR_B;c:\windows\system32\MLPTDR_B.SYS [02/09/2003 22:14 20064]

R2 ScanDrv;ScanDrv;c:\windows\system32\drivers\SCANDRV.SYS [09/06/2009 18:03 186612]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12:31 92008]

S2 Orange update Core Service;Orange update Core Service;c:\program files\Orange\OrangeUpdate\Service\OUCore.exe [14/06/2010 13:39 1053424]

.

Contenu du dossier 'Tâches planifiées'

 

2011-02-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-1965331169-839522115-1003Core.job

- c:\documents and settings\francis\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-12-08 13:23]

 

2011-02-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-1965331169-839522115-1003UA.job

- c:\documents and settings\francis\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-12-08 13:23]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/portail

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s

IE: ajouter cette page à vos favoris Orange - c:\docume~1\francis\LOCALS~1\Temp\cceD.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: traduire la page - c:\docume~1\francis\LOCALS~1\Temp\cceB.html

IE: traduire le texte sélectionné - c:\docume~1\francis\LOCALS~1\Temp\cceC.html

.

- - - - ORPHELINS SUPPRIMES - - - -

 

MSConfigStartUp-CTFMON - (no file)

AddRemove-OnLive! Services - c:\windows\Temp\DeIsL1.isu

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-09 12:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Heure de fin: 2011-02-09 12:23:33

ComboFix-quarantined-files.txt 2011-02-09 11:23

 

Avant-CF: 17 855 176 704 octets libres

Après-CF: 17 813 381 120 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - 50C83892DB4D6CABDB0678DBAF4985A8

Merci

[lance_yien]

Lancer OTL et copier la liste suivante (commençant par :OTL) et la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

 

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q= (http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q='>http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q='>http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q='>http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q= (http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=)

O33 - MountPoints2\{e394abdc-6fa2-11de-b7e1-000b6a65d34f}\Shell\AutoRun\command - "" = H:\InstallTomTomHOME.exe

 

:Services

HidServ

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Program Files\uTorrent\uTorrent.exe" = -

 

:Files

C:\Program Files\ASK Remover.zip

C:\Documents and Settings\francis\Bureau\ASK Remover.zip

C:\Documents and Settings\All Users\Application Data\f-secure

C:\Program Files\uTorrent\uTorrent.exe

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

Cliquer sur le bouton rouge Correction et laisser faire. <== NE TE TROMPE PAS DE BOUTON

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse. Fermer le rapport et OTL.

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q= (http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q= (http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=)

O33 - MountPoints2\{e394abdc-6fa2-11de-b7e1-000b6a65d34f}\Shell\AutoRun\command - "" = H:\InstallTomTomHOME.exe

 

>>> Mises à jour: Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC:

Ta version SP2 de Windows XP est largement dépassée et Microsoft n'assure plus les mises à jour pour cette version, d'où l'accumulation de vulnérabilités et des failles de sécurité.

1- Utiliser Internet Explorer pour aller ICI et télécharger le Pack SP3 sur le Bureau (bien choisir la Langue avant de télécharger).

Fermer toutes les fenêtres et applications y compris Internet et double cliquer sur le fichier "WindowsXP-KB936929-SP3-x86-ENU.exe". Suivre les indications.

 

2- Faire les mises à jour depuis "Démarrer" => "Tous les programmes" => "Windows updates".

 

3- Configurer les mises à jour Windows pour une MAJ Automatique à une heure où vous êtes sûr que votre PC n'est pas éteint.

 

 

 

Rapports demandés:

• OTL.txt

Comment se sont passées les mises à jour?

Que reste-t-il comme problèmes sur ta machine

[focj]

rapport OTL.txt

 

All processes killed

========== OTL ==========

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e394abdc-6fa2-11de-b7e1-000b6a65d34f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e394abdc-6fa2-11de-b7e1-000b6a65d34f}\ not found.

File H:\InstallTomTomHOME.exe not found.

========== SERVICES/DRIVERS ==========

Service HidServ stopped successfully!

Service HidServ deleted successfully!

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\uTorrent\uTorrent.exe deleted successfully.

========== FILES ==========

C:\Program Files\ASK Remover.zip moved successfully.

C:\Documents and Settings\francis\Bureau\ASK Remover.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\setup folder moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2\cert folder moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2 folder moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure folder moved successfully.

C:\Program Files\uTorrent\uTorrent.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: francis

->Temp folder emptied: 121676 bytes

->Temporary Internet Files folder emptied: 1327108 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 2519 bytes

 

User: julien

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: LocalService

->Temp folder emptied: 65536 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: odile

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2114937 bytes

%systemroot%\System32 .tmp files removed: 3072 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 4,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default User

 

User: francis

->Flash cache emptied: 0 bytes

 

User: julien

 

User: LocalService

 

User: NetworkService

 

User: odile

 

Total Flash Files Cleaned = 0,00 mb

 

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.20.6 log created on 02092011_143805

 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

OTLa redémarré le PC (reset)qui était resté bloqué sur l'écran fermeture de window.

Ensuite j'ai téléchargé wind SP3, après le téléchargement, à priori des mises à jour se sont faites.

je viens de cliquer sur l'icone windoxsxp auto extraction et "executer" dans la fenêtre de l'exe. message erreur

C:\Documents and settings\francis\Bureau\WindowsXP-KB936929-SP3-x86-FRA.exe n’est pas une application Win32

TH ne réponds toujours pas, toujours le message d'erreur : est en cours d'execution mais ne réponds pas.j'ai déjà redémarrer le PC mais idem

Pour TH je pense que je devrai peut-être le désinstaller à nouveau ; C Cleaner et réinstaller ? Qu'en penses tu ?

 

Merci

Modifié le 9 février 2011 par focj

[lance_yien]

...

je viens de cliquer sur l'icone windoxsxp auto extraction et "executer" dans la fenêtre de l'exe. message erreur

C:\Documents and settings\francis\Bureau\WindowsXP-KB936929-SP3-x86-FRA.exe n’est pas une application Win32

Diable!

 

Le fichier peut être corrompu pendant le téléchargement, le supprimer, télécharger une nouvelle copie et essayer.

 

>>> Si sans succès...

• Vérifier les fichiers système:
  Cliquer sur "Démarrer" => "Exécuter" et saisir sfc /scannow (espace après sfc). Cliquer sur OK et laisser faire (ça peut être assez long). Le CD d'installation Windows peut être demandé, le chercher avant de commencer
  Redémarrer la machine.
  
• Vérifier le matériel:
  Cliquer sur "Démarrer" => "Exécuter" et saisir cmd. Cliquer sur OK.
  Dans la nouvelle fenêtre (dos), saisir chkdsk /f /r (espaces après chkdsk et après /f) et presser la touche "Entrée".
  Appuyer sur la lettre O et presser la touche Entrée pour accepter la vérification au prochain redémarrage.
  Saisir exit et presser la touche "Entrée" pour fermer la fenêtre. Redémarrer la machine et laisser faire la vérification.
  Vérifier l'installation de SP3.

 

>>> Si toujours pas de chance...

Cliquer ICI puis sur "Téléchargez Dr.Web CureIt!" et "Enregistrer" sur le "Bureau".

 

IMPRIMER ces instructions car Internet sera inaccessible en "Mode sans échec" (à moins d'avoir un autre PC à côté) et EN PLUS le programme bloquera l'accès à tous les dossiers et/ programmes dès qu'il est lancé et démarrer le PC en Mode sans échec (en tapotant, SANS ARRET, la touche "F8" ou "F5") dès le démarrage.

• Cliquer sur le fichier de Dr.Web CureIt puis sur "Commencer le scan". Cliquer sur OK/ OUI dans la(les) fenêtre(s) suivante(s).
  Il s'agit d'un scan RAPIDE de la Mémoire, les Secteurs de Démarrage... N'y changer rien et attendre la fin du scan.
   
  
  

  
   
  Une petite pub s'affichera, cliquer dessus pour acheter, sinon cliquer sur la [X].
  Si un "mauvais" fichier est détecté, une fenêtre s'affichera. Choisir "Oui pour tout".
  Une ligne sera ajoutée pour chaque item dans la partie "Objet |Chemin...".
   
  

• Toujours en Mode sans échec:
  Brancher toute clé USB et/ ou insérer toute disquette ou CD susceptible d'avoir échangé des fichiers ou dossiers avec un autre PC et cliquer sur "Analyse Sélective" puis Sélectionner tous les lecteurs présents dans votre machine. Un point rouge indiquera que le lecteur a été bien sélectionné.
  Cliquer sur la flèche verte à droite pour démarrer le scan.
  Répondre par "Oui"/ "OK" à toute les questions qui vous seront posées.
  Cliquer sur "Sélectionner Tout" et cliquer sur le bouton "Quarantaine". Ce qui a pour effet de déplacer la sélection dans un dossier: %userprofile%\DoctorWeb\quarantaine (généralement "c:\Documents and Settings...").
   
  Si difficultés voyez si vous pouvez cliquer sur l'icône à côté de chaque fichier trouvé et choisir l'option adéquate pour le mettre en quarantaine.

A la fin, cliquer sur "Fichier" => "Enregistrer le rapport". Cliquer sur Bureau (à gauche) puis sur "Enregistrer" (en bas à droite). Laisser le nom par défaut DrWeb.csv.

Cliquer sur "Fichier" => "Quitter" et redémarre en Mode normal. Poster le contenu du rapport

 

 

Rapports demandés: "scan-results"

Un changement quelconque?

[focj]

bonsoir lance_yien, nouveau téléchargement puis l'exe, execution correcte jusque phase de nettoyage, là ça mouline "en rond", j'ai du passer par le gestionnaire pour stopper. J'ai recommencé: idem.

au redemarrage, page window "remerciement etc....XP SP3 quelque fenêtres type bios lors de l'ouverture de session,(ça a ramé) mais ça s'est ouvert!!!! je ne sais que dire d'autre.

je ne suis pas allé plus loin ce soir (tard).

Je viens de arrêter "dans les règles" le PC, mise à jour , arrêt.

redemarrage : "pas de lézard".un peu plus long mais ça va.

Mais..... TH ne redemarre pas (dans le fichier "default" => "profil" y a plus la série des 8 chiffres et lettres ni le fichier txt lui correspondant)

 

Ton appréciation s'il te plaît, fais je la consigne suivante indiquée ou dois-je faire autre chose auparavant ?

Merci (de consacrer tout ce temps, vous avez du mérite les helpeurs du forum)

Modifié le 10 février 2011 par focj

[lance_yien]

Bonjour focj,

 

Je ne suis pas sûr d'avoir compris ce que tu as fait et ce qui te reste à faire des dernières instructions, mais ce n'est pas grave.

 

- Pour vérifier si le SP3 est installé, cliquer-droit sur "Poste de travail" => "Propriété" et cherche la ligne qui t'indique la version De Windows. Si Pack SP3 c'est gagné, Fais quand même le scan du DrWeb et poste son rapport.

SINON, passe aux autres instructions dans leur ordre de lecture.

 

- Pour "TH ne redemarre pas (dans le fichier "default" => "profil" y a plus la série des 8 chiffres et lettres ni le fichier txt lui correspondant)", pour le moment on a rien fait le concernant. Donc je ne sais pas pourquoi "il n'y a plus la série...".

 

a++

[focj]

Bonsoir lance_yien, OK Pack SP3,les scan depuis ce midi viennent de se terminer. Rapport "scan-results"

 

OTL.exe C:\Documents and Settings\francis\Bureau Trojan.Siggen2.16874 Irréparable.Quarantaine.

A0053725.exe C:\System Volume Information\_restore{F3DB542F-F61C-494E-8A6D-86DD1824CCB7}\RP312 Trojan.Siggen2.16874 Irréparable.Quarantaine.

 

A priori, le poste de travail et cession s'ouvrent bien et vite, ainsi que les fichiers que j'ai ouvert pour essai.

TH ne s'ouvre toujours pas

Quetions: comment dois je faire pour les virus en quarantaine ?

Lorsque tout sera ou si tout est OK pour les malwares, vais je pouvoir supprimer les logiciels téléchargés et comment ? ou bien, dois je les enregistrer ailleurs que sur le bureau et comment ?

PS: je viens d'ouvrir le panneau de configuration ==> "ajout/suppression de programmes", auparavant ça "ramait" pas mal, là ce n'est plus le cas.

je n'arrive pas à croire que tu sois arrivé à me faire éxecuter tout celà...(jamais fait)

Merci

[lance_yien]

Bonjour focj,

 

Bonsoir lance_yien, OK Pack SP3,les scan depuis ce midi viennent de se terminer.

Génial, t'es un chef

 

Rapport "scan-results"

 

OTL.exe C:\Documents and Settings\francis\Bureau Trojan.Siggen2.16874 Irréparable.Quarantaine.

A0053725.exe C:\System Volume Information\_restore{F3DB542F-F61C-494E-8A6D-86DD1824CCB7}\RP312 Trojan.Siggen2.16874 Irréparable.Quarantaine.

... comment dois je faire pour les virus en quarantaine ?

Il t'a supprimé OTL.exe que tu vas utilisé incessamment sous peu. Ouvre le dossier "Quarantaine", séléctionne OTL.exe et restaure-le (ou le glisser sur le Bureau ou le re-télécharger depuis ici ou ici).

Pour le dossier Quarantaine et ce qu'il y a dedans, il va partir quand tu supprimeras "Dr Web"

 

je n'arrive pas à croire que tu sois arrivé à me faire éxecuter tout celà...(jamais fait)

C'est que tu es un bon élève

 

TH ne s'ouvre toujours pas

Je te propose:

• Assure-toi d'avoir la dernière version d'Internet Explorer (IE8): Cliquer ICI, choisir la langue et le système d'exploitation pour télécharger et installer Internet Explorer 8. Suivre simplement les indications.
   
  Quand c'est fini, redémarre ton PC et essaie Thunderbird. Si c'est concluant passe au # >>> Supprimer les utilitaires, sinon continue ici.
  
• Installer Revo Uninstaller après l'avoir téléchargé ICI.
  
• Récupérer tes fichiers personnels dans Thunderbird si nécessaire (pas de dossier complet parce que je suspecte des fichier système du programme qui soient corrompus)
  
• Lancer Revo Uninstaller depuis son icône sur le Bureau ou depuis "Démarrer" => "Tous les Programmes" => "Revo Uninstaller".
   
  
• Sélectionner Thunderbird et cliquer sur le bouton Désinstaller
   
  
• Choisir le mode Avancé et cliquer sur Suivant.
   
  Suivre les instructions.
   
  
• Cliquer sur Sélectionner tout (1) puis sur Supprimer (2) .
   
  Ceci a pour effet de supprimer tous les items listés dans le champ en haut de la fenêtre.
   
  
• Cliquer sur le bouton Fini pour fermer la fenêtre.
   
  
• Télécharger et un installer la dernière version de Thunderbird
  

 

Si ton problème n'est pas résolu et vu que ta machine n'est plus infectée, je te laisse voir dans la section Software. Ils sauront te guider au mieux pour le reste.

 

Pour en finir ici...

>>> Supprimer les utilitaires:

- Pour supprimer ComboFix, cliquer sur Démarrer => Exécuter et saisir (ou copier/ coller) ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur OK.

Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installé et ré-initialiser les points de restauration.

- Lancer OTL et cliquer sur Purge outils. Laisser faire et redémarrer le PC.

- Pour supprimer les autres utilitaires et leur rapports, cliquer-droit dessus => "Supprimer".

 

 

>>> Protéger/ Sécuriser:

• Contrôler et configurer les mises à jour Windows:
  - Cliquer ICI et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'activex (si proposé).
  - OU, cliquer sur "Démarrer" => "Tous les programmes" => "Windows update".
  - ET, optez (si ce n'est pas encore fait) pour une MAJ Automatique à une heure où vous êtes sûr que votre PC n'est pas éteint.
   
  
  
  

  
   
  

• Installer PSI de Secunia pour des MAJ logiciels
  
• Installer Update Checker pour des MAJ pilotes
  
• Utiliser PC Pitstop pour Optimiser votre PC (en anglais)
  
• Sauvegarder le Registre avec Erunt
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit. Tuto.
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.
  
• Nettoyer et dé-fragmenter, régulièrement, les Partitions/ Disques.

 

>>> Ce qu'il faut ÉVITER ABSOLUMENT: Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, supprimer de votre machine et rester à l'écart de tout ce qui est,

• Warez , Crack , keygen etc. Arrêter de croire que ces programmes sont là juste pour faire plaisir ou rendre service. Il n'y a qu'à parcourir les Forums pour voir le nombre de PC victimes de ces programmes.
  
• P2P , *.Torrent etc: Lire attentivement Le danger des P2P.

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur le bouton "Modifier".

 

Bonne chance!