[Résolu] malware compliqué à erradiquer

[kamppp]

Bonjour,

 

Depuis une quinzaine de jours, suite à un fichier exe que j'aurais pas du lancer j'ai installé une vraie crasse sur mon pc (Windows XP).

Après moults avast, adaware, et Spybot en mode normal et sans échec, il reste encore une crasse : quand windows se lance, j'ai immédiatement un avis comme quoi "j'essaye de lancer un exécutable" nommé par exemple 6.exe ou 9.exe ou F.exe ... Ce qui n'est évidemment pas le cas.

 

Voici le rapport hijackthis

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:22:14, on 13/03/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\utilisateur\Application Data\dwm.exe

C:\Documents and Settings\utilisateur\Application Data\Microsoft\conhost.exe

C:\Program Files\Belgium Identity Card\beid35gui.exe

C:\Program Files\Alwil Software\Avast5\avastUI.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\FsUsbExService.Exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Documents and Settings\utilisateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Google

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63677

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [beid] "C:\Program Files\Belgium Identity Card\beid35gui.exe" /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\utilisateur\Application Data\Microsoft\conhost.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat Snelle start.lnk.disabled

O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled

O8 - Extra context menu item: Converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Geselecteerde koppelingen converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Geselecteerde koppelingen converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Koppelingdoel converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Koppelingdoel converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Selectie converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Selectie converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Toevoegen aan bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189288860406

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://ccff02.minfin.fgov.be/CCFF_Authentication/views/login/signature/capicom.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 11038 bytes

 

Merci à vous !

ps : je suis novice, il faut donc m'expliquer lentement

Modifié le 24 mars 2011 par kamppp

[danakil]

salut kamppp!

 

Relance HijackThis > Do a system scan only > Coche cette ligne :

O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\utilisateur\Application Data\Microsoft\conhost.exe

> Clique sur Fix Checked > Valide par OUI et redémarre ton PC.

Ainsi tu ne devrais plus avoir cette exécutable se lancant au démarrage du PC.

 

Ton PC est infecté au vue du rapport HijackThis par :

Backdoor.Cycbot

Worm.MSIL.Arcdoor.io

 

Afin de mieux cerner l'ensemble des infections effectue ceci :

Télécharge OTL sur ton Bureau.

• Fait un double-clic sur l'icône d'OTL pour le lancer. (Sous Vista > Clic droit > Exécuter en tant qu'Administrateur).

• Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

• Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport Minimal" soit cochée.

• Copie et colle le contenu de cette citation dans la partie inférieure d'OTL "Personalisation" :

 

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

sptd.sys

ahcix86s.sys

ahcix86.sys

AGP440.sys

atapi.sys

Changer.sys

cdrom.sys

cngaudit.dll

disk.sys

explorer.exe

eventlog.dll

eNetHook.dll

iastorv.sys

KR10N.sys

IdeChnDr.sys

logevent.dll

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

netlogon.dll

nvstor.sys

nvstor32.sys

nvrd32.sys

nvata.sys

nvgts.sys

ndis.sys

nvatabus.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

RASACD.SYS

scecli.dll

viasraid.sys

vaxscsi.sys

viamraid.sys

ViPrt.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

• Clique sur l'icône "Analyse" (en haut à gauche) .

• Laisse le scan aller à son terme sans te servir du PC.

• A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

 

...

 

Comme ces rapports sont volumineux, tu vas devoir les héberger afin que je puisse les récupérer.

 

Rend toi sur 1Ficher.com puis:

 

1/ Clique sur "Parcourir" afin de sélectionner le rapport "OTL.txt"

2/ Clique sur "Envoyer"

 

3/ Patiente quelques seconde, et copie le lien de partage qui apparait sous "Lien de téléchargement" afin de le coller dans ta réponse.

 

4/ Fait la même chose avec le rapport "Extrat.txt"

[kamppp]

Bonjour Danakil !

Merci de ta réponse, j'ai tout fait comme tu le suggère, et voici les liens pour les fichiers txt :

 

Téléchargement du fichier : OTL.Txt pour le fichier OTL.txt

Téléchargement du fichier : Extras.Txt pour le fichier extras.txt

 

Encore merci pour la suite !

 

ps : danakil, comme le groupe de reggae ?

[danakil]

Salut!

 

Non pas de rapport avec les "Reggae's men"

 

Ton XP est trés infecté.

 

Effectue ceci dans l'ordre :

 

1/ Désinstallation de logiciels.

Via le panneau de configuration > Ajout et Suppression de programme > Désinstalle :

AD-Aware 2007 <-- un peu vieux

Spybot S&D <-- plus trés performant

En fin de désinfection on te mettra des logiciels plus efficaces.

Après les désinstallations n'oublie pas de redémarrer ton PC.

 

Ensuite reviens ici pour passer à l'étape suivante ...

 

2/

• Télécharge TFC de OldTimer sur ton Bureau et pas ailleurs.

• Lance TFC.exe ...

XP --> Double-clics

Vista & Seven --> Clic droit > Exécuter en tant qu'Administrateur

... et sélectionne le bouton Start

 

* Ne touche à rien et voici ce qu'il va se passer:

TFC va d'abord fermer Explorer(le Bureau) et tout les processus-logiciels chargés, incluant : antivirus et autre protections. Après avoir compléter son nettoyage, TFC va relancer Explorer et peut proposer-ou-non un redémarrage de l'ordi. pour compléter le nettoyage. Quoi qu'il en soit, avec toute les protections de désactivées ...

--> Redémarre ton PC !

 

3/

Ferme toutes les fenêtres actives sur ton PC.

Relance OTL > Clic droit dessus > "Exécuter en tant qu'Administrateur".

Dans l'interface d'OTL, vérifie que la case "Rapport minimal" soit bien cochée.

Copie et colle le contenu de cette citation dans la fenêtre Personnalisation.

 

:otl

PRC - C:\Documents and Settings\utilisateur\Local Settings\Temp\csrss.exe ()

PRC - C:\Documents and Settings\utilisateur\Application Data\dwm.exe ()

PRC - C:\Documents and Settings\utilisateur\Application Data\Microsoft\conhost.exe ()

FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=403&q="

[2010/10/28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\asc6k26y.default\searchplugins\SearchquWebSearch.xml

[2010/10/28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml

O2 - BHO: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - No CLSID value found.

O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\utilisateur\Application Data\Microsoft\conhost.exe ()

F3 - HKCU WinNT: Load - (C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\csrss.exe) - C:\Documents and Settings\utilisateur\Local Settings\Temp\csrss.exe ()

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\utilisateur\Application Data\dwm.exe) - C:\Documents and Settings\utilisateur\Application Data\dwm.exe ()

[2011/03/15 20:35:30 | 000,171,520 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\dwm.exe

[2011/03/13 20:33:50 | 000,171,520 | ---- | C] () -- C:\Documents and Settings\utilisateur\Application Data\dwm.exe

[2009/10/17 18:26:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\File dvd base road

[2011/03/14 18:22:47 | 000,161,280 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\Microsoft\conhost.exe

 

:files

c:\documents and settings\utilisateur\local settings\temp\csrss.exe

c:\documents and settings\utilisateur\application data\dwm.exe

c:\documents and settings\utilisateur\application data\microsoft\conhost.exe

c:\documents and settings\utilis~1\locals~1\temp\csrss.exe

 

:Commands

[emptytemp]

[emptyflash]

[resethosts]

[reboot]

 

Clique sur le bouton Correction.

Ne touche plus au PC avant son redémarrage.

A l'ouverture du PC un rapport va s'ouvrir --> OTL.txt ... Si ce n'est le cas tu le retrouveras sous le même nom sur le Bureau ou alors dans son dossier --> C:\OTL

Copie et colle ici en réponse le contenu de ce rapport.

 

Ensuite nous désinfecterons tes connexions externes.

[kamppp]

Salut !

Encore merci pour tout le temps que tu passes et les conseils.

Alors j'ai exécuté toute ta procédure, et malheureusement je n'ai pas trouvé de fichier OTL.txt après le redémarrage du pc après la dernière étape.

J'ai même fait un ctrl-F pour le chercher sur le pc, rien trouvé. Cela dit, il n'y a pas non plus de dossier C:\OTL

 

J'ai merdé quelque part ? Si oui, à partir de quelle étape je dois reprendre ?

 

Entre parenthèse, j'ai des avis "bizarres" depuis quelques temps à l'ouverture de windows, je les copie-colle dans le post suivant dès que j'ai redémarré

[kamppp]

Voilà les avis à l'ouverture de windows (apparus depuis une qunizaine de jours) :

 

Titre de la fenêtre : C:\DOCUMEN~1\UTILIS~1\LOCALS~1\Temp\csrss.exe

Contenu de la fenêtre : Windows ne trouve pas 'C:\DOCUMEN~1\UTILIS~1\LOCALS~1\Temp\csrss.exe'. Vérifiez que vous avez entré le nom correctement et essayez à nouveau. Pour rechercher un fichier, cliquez sur le bouton Démarrer, puis sur Rechercher.

Là je ne peux que faire Ok. Ensuite, deuxième avis :

Titre de la fenêtre : Bureau

Contenu de la fenêtre : Impossible de cherger ou d'éxecuter 'C:\DOCUMEN~1\UTILIS~1\LOCALS~1\Temp\csrss.exe' spécifié dans le Registre. Vérifiez que le fichier existe sur votre ordinateur ou supprimez la référence dans le Registre.

Je ne peux que faire Ok également.

Ensuite depuis que j'ai fait ta précédente procédure (sans doute lié à l'action de TFC), j'ai 2 avis supplémentaires :

Titre de la fenêtre : Windows

Contenu de la fenêtre : Windows ne peut ouvrir ce fichier : Adobe Reader Synchronizer.lnk.disabled

Que voulez-vous faire?

- Utiliser le service Web pour trouver le programme approprié

- Sélectionner le programme dans une liste

et

Titre de la fenêtre : Windows

Contenu de la fenêtre : Windows ne peut ouvrir ce fichier : Adobe Acrobat Snelle Start.lnk.disabled

Que voulez-vous faire?

- Utiliser le service Web pour trouver le programme approprié

- Sélectionner le programme dans une liste

Ces 2 avis, j'ai le choix entre Ok et annuler (j'annule chaque fois pour l'insant).

 

Dernière chose : depuis la fin de la procédure, est apparu sur le bureau un fichiers thumbs.db mais je sais pas si c'est important.

 

Voilà c'est tout !

[danakil]

Salut!

 

La fonction "Ctrl + F" permet défectuer une recherche sur une page ouverte --> Web ou texte.

 

 

Pour retrouver ce rapport sur ton XP fais ceci :

 

> Ouvre le Poste de Travail par un double-clics > Ouvre ton lecteur C:\

> Recherche le répertoire OTL > Ouvre le > Dedans tu trouveras OTL.txt <-- copie son contenu et poste le moi en réponse.

[kamppp]

Wi je voulais dire que j'avais fait la recherche de fichier standard quoi =)

 

Cela dit, il n'y a aucun répertoire OTL dans C:\ ça j'en suis sûr (et je vois les fichiers cachés)

Donc soit il n'a pas fait le rapport OTL.txt (le précédent rapport était venu sur le bureau) soit il me l'a mis ailleurs mais comment savoir où ?

 

Ou bien je dois recommencer quelque chose mais il faudrait que tu me dises quoi..

 

Désolé =)

[danakil]

Salut kamppp!

 

OK, tu as effectué toutes les vérifications pour rechercher le rapport OTL.txt.

 

 

Maintenant on continue.

 

Télécharge UsbFix sur ton Bureau.

 

• Lance l'installation avec les paramètres par défaut.

/!\ Branche tes sources de données externes à ton PC (clé USB,disque dur externe,etc...) sans les ouvrir /!\

 

• Double-clique sur le raccourci UsbFix sur ton Bureau.(ou sous Vista et seven

fais un clic droit > Exécuter en tant qu'administrateur)

 

• Choisis l'option 1.Recherche

 

• Laisse travailler l'outil.

 

• Poste le rapport UsbFix.txt

 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

[kamppp]

Salut Danakil,

j'ai branché uniquement ma clé usb que j'avais ici (j'ai encore un disk dur externe qui me sert de backup tous les 2,3 mois mais il n'est pas chez moi pour l'instant).

 

Voici le rapport usbfix (le fichier txt s'est ouvert automatiquement, pas besoin de le chercher cette fois).

 

############################## | UsbFix 7.042 | [Recherche]

 

Utilisateur: utilisateur (Administrateur) # PCERIC [ ]

Mis à jour le 14/03/2011 par TeamXscript

Lancé à 21:01:22 | 20/03/2011

Site Web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

Submit your sample: Upload TeamXscript

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: AMD Athlon 64 X2 Dual Core Processor 6000+

CPU 2: AMD Athlon 64 X2 Dual Core Processor 6000+

Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3

Internet Explorer 6.0.2900.5512

 

Antivirus: avast! Antivirus 5.0.100664296 [Enabled | Updated]

RAM -> 1791 Mo

C:\ (%systemdrive%) -> Disque fixe # 466 Go (266 Go libre(s) - 57%) [] # NTFS

D:\ -> CD-ROM

G:\ -> Disque amovible # 7 Go (7 Go libre(s) - 95%) [KAMPPP KEY] # FAT32

 

################## | Éléments infectieux |

 

 

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{5056b41e-214e-11de-90c7-0019662df562}

Shell\AutoRun\Command = E:\WDSetup.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{6dcdc7d8-bec3-11dc-8e7c-000e2ea6b9ec}

Shell\AutoRun\Command = E:\LaunchU3.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{a590fdd3-b58d-11dc-8e65-000e2ea6b9ec}

Shell\AutoRun\Command = E:\2sm66r.exe

Shell\open\Command = E:\2sm66r.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{bf61bb40-10f5-11e0-9372-0019662df562}

Shell\AutoRun\Command = E:\InstallTomTomHOME.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{dc2659ca-2f74-11de-90d1-0019662df562}

Shell\AutoRun\Command = vt6e.cmd

Shell\explore\Command = vt6e.cmd

Shell\open\Command = vt6e.cmd

 

HKCU\.\.\.\.\Explorer\MountPoints2\{feeda243-3d6a-11de-90e5-0019662df562}

Shell\AutoRun\Command = E:\LaunchU3.exe -a

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |