[Résolu] Infection XP Security 2012

[darkorignal]

Bonjour pear, finalement, j'ai supprimer AVG totalement et combofix a pu démarrer.

 

voici le rapport :

 

ComboFix 11-12-01.01 - SMD BUREAU 01/12/2011 12:52:55.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.724 [GMT 1:00]

Lancé depuis: c:\documents and settings\SMD BUREAU\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\SMD BUREAU\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\SMD BUREAU\errorlog.tmp

c:\documents and settings\SMD BUREAU\WINDOWS

c:\windows\$NtUninstallKB51246$

c:\windows\$NtUninstallKB51246$\2184164862\@

c:\windows\$NtUninstallKB51246$\2184164862\L\kooozwvt

c:\windows\$NtUninstallKB51246$\2184164862\loader.tlb

c:\windows\$NtUninstallKB51246$\2184164862\U\@00000001

c:\windows\$NtUninstallKB51246$\2184164862\U\@000000c0

c:\windows\$NtUninstallKB51246$\2184164862\U\@000000cb

c:\windows\$NtUninstallKB51246$\2184164862\U\@000000cf

c:\windows\$NtUninstallKB51246$\2184164862\U\@80000000

c:\windows\$NtUninstallKB51246$\2184164862\U\@800000c0

c:\windows\$NtUninstallKB51246$\2184164862\U\@800000cb

c:\windows\$NtUninstallKB51246$\2184164862\U\@800000cf

c:\windows\$NtUninstallKB51246$\536735413

c:\windows\system32\

c:\windows\system32\c_59730.nls

c:\windows\system32\usmt\migwiz_a.exe

.

Une copie infectée de c:\windows\system32\drivers\mrxsmb.sys a été trouvée et désinfectée

Copie restaurée à partir de - The cat found it

Une copie infectée de c:\program files\Java\jre6\bin\jqs.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\system volume information\_restore{8B26E68C-EAC6-4030-A534-10211A3E8170}\RP1426\A0323768.exe

.

Une copie infectée de c:\windows\system32\nvsvc32.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\system volume information\_restore{8B26E68C-EAC6-4030-A534-10211A3E8170}\RP1426\A0323769.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-11-01 au 2011-12-01 ))))))))))))))))))))))))))))))))))))

.

.

2011-12-01 11:33 . 2011-07-15 13:29 457856 -c--a-w- c:\windows\system32\dllcache\mrxsmb.sys

2011-12-01 11:33 . 2011-07-15 13:29 457856 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2011-11-30 18:48 . 2011-11-30 18:48 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys

2011-11-29 18:03 . 2011-11-29 18:03 -------- d-----w- c:\documents and settings\SMD BUREAU\Application Data\Malwarebytes

2011-11-29 18:03 . 2011-11-29 18:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-11-29 18:03 . 2011-11-29 18:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-11-29 18:03 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-11-29 14:07 . 2011-11-29 14:07 -------- d-----w- c:\documents and settings\Administrateur

2011-11-28 18:01 . 2011-11-28 18:01 -------- d-s---w- c:\documents and settings\LocalService\Favoris

2011-11-28 14:36 . 2011-11-28 14:36 -------- d-s---w- c:\documents and settings\SMD BUREAU\Local Settings\Application Data\822fb5fe

2011-11-27 20:13 . 2006-10-27 08:48 18944 ----a-r- c:\windows\system32\drivers\busbcrw.sys

2011-11-27 20:10 . 2011-11-27 20:10 -------- d-----w- c:\program files\Fichiers communs\Brother

2011-11-27 20:10 . 2011-11-27 20:10 -------- d-----w- c:\program files\Brother

2011-11-13 17:10 . 2011-11-27 09:44 -------- d-----w- c:\program files\FreeRapid-0.86u1

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-10 14:23 . 2005-07-11 13:23 692736 ----a-w- c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2005-07-11 22:07 606208 ----a-w- c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2008-07-29 18:59 614400 ----a-w- c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2005-07-11 22:08 22528 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2005-07-11 22:08 220160 ----a-w- c:\windows\system32\oleacc.dll

2011-09-06 14:10 . 2005-07-11 22:08 1859072 ----a-w- c:\windows\system32\win32k.sys

2011-09-05 17:47 . 2011-02-14 21:45 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys

2007-03-04 18:27 . 2008-03-21 21:41 1592832 ----a-w- c:\program files\CaptureFlux_52fr.exe

2011-11-10 07:46 . 2011-10-05 11:53 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe

[-] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

.

[-] 2008-04-14 . 3055997AABFADB4CCDD936A25D050705 . 230912 . . [5.1.2600.5512] . . c:\windows\regedit.exe

[-] 2008-04-14 . 3055997AABFADB4CCDD936A25D050705 . 230912 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regedit.exe

[-] 2004-08-05 . 28A4195E5286583EB852A711BB68D16F . 230912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regedit.exe

[7] 2004-08-05 . 47D9746DB5064D95DFB0E4D88A10C540 . 153088 . . [5.1.2600.2180] . . c:\windows\I386\REGEDIT.EXE

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

"nwiz"="nwiz.exe" [2008-09-17 1657376]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 77824]

"BJCFD"="c:\program files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Paramètres du clavier et de la souris.lnk - c:\program files\Logitech\SetPointP\SetPoint.exe [2010-10-29 1352272]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2010-10-28 10:13 64592 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk /r \??\C:\0autocheck autochk *

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Docteur Club Internet.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Docteur Club Internet.lnk

backup=c:\windows\pss\Docteur Club Internet.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Spamihilator.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Spamihilator.lnk

backup=c:\windows\pss\Spamihilator.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^SMD BUREAU^Menu Démarrer^Programmes^Démarrage^Spamihilator.lnk]

path=c:\documents and settings\SMD BUREAU\Menu Démarrer\Programmes\Démarrage\Spamihilator.lnk

backup=c:\windows\pss\Spamihilator.lnkStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

2006-06-26 19:45 1211176 ----a-w- c:\program files\Microsoft ActiveSync\wcescomm.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2007-05-08 15:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]

2011-08-31 16:00 1047208 ----a-w- c:\program files\Malwarebytes' Anti-Malware\mbam.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8wd"=2 (0x2)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Jeux\\MOHAA\\MOHAA.exe"=

"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

.

R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]

R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [14/02/2011 22:44 10448]

S0 mjyjh;mjyjh;c:\windows\system32\drivers\ylig.sys --> c:\windows\system32\drivers\ylig.sys [?]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [03/01/2010 22:20 135664]

S3 busbcrw;USB Card Reader Writer driver;c:\windows\system32\drivers\busbcrw.sys [27/11/2011 21:13 18944]

S3 DTVFW;DVB-T USB adapter firmware;c:\windows\system32\DRIVERS\dtvfw.sys --> c:\windows\system32\DRIVERS\dtvfw.sys [?]

S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [03/01/2010 22:20 135664]

S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [05/07/2009 21:16 136704]

S3 PsShutdownSvc;PsShutdown;c:\windows\system32\PSSDNSVC.EXE [11/07/2005 17:23 65536]

S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [29/05/2006 21:18 167424]

S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [30/11/2011 19:48 111872]

S3 usbdtv;DVB-T TV Tuner;c:\windows\system32\Drivers\usbdtv.sys --> c:\windows\system32\Drivers\usbdtv.sys [?]

S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\ZTEusbvoice.sys [16/09/2011 13:09 105344]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Contenu du dossier 'Tâches planifiées'

.

2011-12-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-03 21:20]

.

2011-11-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-03 21:20]

.

2011-12-01 c:\windows\Tasks\User_Feed_Synchronization-{614D0D17-E946-41F3-99A2-CDE7B15590DF}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

mStart Page = hxxp://fr.yahoo.com

mWindow Title = Internet Explorer

uInternet Settings,ProxyOverride = 127.0.0.1;localhost

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/static/m/cab/2.7.3/GarminAxControl.CAB

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} - hxxps://img.ui-portal.de/gmxcom/filestorage/en/application/v22/activex/v2/gmx_com_osupload_2002.cab

FF - ProfilePath - c:\documents and settings\SMD BUREAU\Application Data\Mozilla\Firefox\Profiles\febc820v.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

.

- - - - ORPHELINS SUPPRIMES - - - -

.

HKCU-Run-Skype - c:\program files\Skype\Phone\Skype.exe

HKLM-Run-farstone - (no file)

HKLM-Run-StandardInstall - (no file)

HKLM-Run-RestoreIT! - c:\program files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE

HKLM-Run-fenaffiche - c:\program files\FenAffiche\FenUnika.exe

HKLM-Run-WinPatrol - c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe

HKLM-Run-Club-Internet_McciTrayApp - c:\program files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

HKLM-Run-RemoteControl - c:\program files\CyberLink\PowerDVD\PDVDServ.exe

MSConfigStartUp-AVG7_CC - c:\progra~1\Grisoft\AVGFRE~1\avgcc.exe

MSConfigStartUp-Club-Internet_McciTrayApp - c:\program files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

MSConfigStartUp-fenaffiche - c:\program files\FenAffiche\FenUnika.exe

MSConfigStartUp-RemoteControl - c:\program files\CyberLink\PowerDVD\PDVDServ.exe

MSConfigStartUp-RestoreIT! - c:\program files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE

MSConfigStartUp-Skype - c:\program files\Skype\Phone\Skype.exe

MSConfigStartUp-WinPatrol - c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe

AddRemove-aMSN - o:\amsn\uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-12-01 13:07

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:06,78,c2,43,3b,f8,ae,98,4d,ba,b4,d9,36,a3,ff,3f,ce,cb,02,99,2a,

5f,a3,5f,66,e5,cb,27,fe,e7,b2,6c,b9,aa,0d,66,af,e9,36,60,86,33,b7,57,06,44,\

.

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:06,78,c2,43,3b,f8,ae,98,4d,ba,b4,d9,36,a3,ff,3f,ce,cb,02,99,2a,

5f,a3,5f,66,e5,cb,27,fe,e7,b2,6c,b9,aa,0d,66,af,e9,36,60,86,33,b7,57,06,44,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(700)

c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll

.

- - - - - - - > 'explorer.exe'(3764)

c:\windows\system32\SHDOCVW.dll

c:\program files\Windows Media Player\wmpband.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\HPZipm12.exe

c:\windows\SOUNDMAN.EXE

c:\windows\system32\rundll32.exe

c:\windows\system32\RUNDLL32.EXE

c:\program files\Fichiers communs\LogiShrd\KHAL3\KHALMNPR.EXE

.

**************************************************************************

.

Heure de fin: 2011-12-01 13:14:46 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-12-01 12:14

.

Avant-CF: 23 777 714 176 octets libres

Après-CF: 24 260 141 056 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

.

- - End Of File - - 34AE7C3DA04C4887C50638C528A497CB

 

A noter que mon pc a pu démarrer normalement ... ouf ! je ne suis plus en mode sans échec.

A ton avis puis-je maintenant démarrer firefox (qui me semblait infecté) ?

[pear]

Doucement!

Ce n'est pas fini.

 

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

c:\windows\system32\drivers\ylig.sys

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

L'antivirus doit être désactivé.

Pour éviter qu'il se relance au redémarrage, décochez le dans Msconfig->Démarrage

 

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

regedit.exe

explorer.exe

 

Fermez le bloc-note et enregistrez les changements.

 

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

copier/coller ce rapport.

[darkorignal]

c:\windows\system32\drivers\ylig.sys

 

>> ce fichier ne se trouve pas sur mon pc. dois-je passer à l'étape d'après (avec WinReplace) ?

[pear]

Oui, Winreplace

[darkorignal]

voici le rapport de WFR :

 

WinFileReplace - ver : 1.1.0 - by Loup blanc

 

---------------------------

Microsoft Windows XP

Service Pack 3

Fran‡ais

---------------------------

Contrôle du fichier téléchargé :

MD5 recherchée : a9a9a86e7330bffaf64ae2acfb73d959

sp3.000 MD5 : a9a9a86e7330bffaf64ae2acfb73d959

et

---------------------------

 

============ Comparaison des fichiers avant remplacement ============

 

---------

"C:\WinFileReplace\explorer.exe" MD5 : a9a9a86e7330bffaf64ae2acfb73d959

"C:\FR-files\explorer.exe" MD5 : f2317622d29f9ff0f88aeecd5f60f0dd

Commande ECHO désactivée.

Commande ECHO désactivée.

sont différents...

-----------

 

 

============ Comparaison des fichiers après remplacement ============

 

-----------

Les fichiers

et

"C:\FR-files\explorer.exe" MD5 = f2317622d29f9ff0f88aeecd5f60f0dd

sont différents...

 

Echec du remplacement

-----------

 

======= Fin du rapport =======

 

Je ne sais pas si j'ai fait correctement la manip : dans le bloc-note j'ai juste mis regedit.exe puis explorer.exe et non C:\(chemin)\regedit.exe

Dis-moi s'il faut que je recommence ainsi.

 

pour info au redémarrage j'ai eu un chckdsk très long en 5 étapes ...

[pear]

Le remplacement d'explorer a échoué.

Qu'en est-il de regedit ?

 

Comment va la machine ?

[darkorignal]

regedit n'a pas été trouvé par WFR. (d'où ma question sur le fait de mentionner ou pas le chemin)

 

la machine semble être ok : en tout cas, elle démarre normalement ... il faut que je reteste d'autres arrêts/démarrages pour te dire plus exactement.

 

Faut-il que je relance WFR ?

[pear]

Faut-il que je relance WFR ?

Non,

Si besoin:

Vilma registry est un excellent remplacant de Regedit.

On apprécie particulièrement plusieurs options, mais c'est surtout le fait que comme le gestionnaire de fichiers, comme msconfig, regedit peut être désactivé par un malware, d'où l'intérêt d'avoir un remplaçant à portée de clic

 

- le site officiel : Vilma Software

 

Pour passer en Francais : décompressez le fichier et allez le placer dans le sous dossier lang. Voici le chemin, C:\Program Files\Vilma\RegExp\lang.

La traduction sera instantanée.

[darkorignal]

Merci.

 

Si le traitement est terminé, dois-je désactiver des logiciels type combofix ? si oui, pouvez-vous me donner la procédure ?

 

En tout cas merci beaucoup pear pour votre aide très efficace !

[pear]

Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->

Copier/coller:

"%userprofile%\Bureau\ComboFix.exe" /uninstall

En cas d'échec:

Renommer ComboFix.exe qui est sur votre bureau -> Uninstall.exe et double cliquez dessus.

Supprimez C:\qoobox si vous le trouvez

 

et pour le reste:

lTélécharger DelFix de Xplode/url]

Lancez-le.

Cliquez [Recherche]

puis [suppression]

 

Un rapport va s'ouvrir à la fin, à coller dans la réponse

 

Enfin cliquer [Désinstallation]