Slt,


scan avec
MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php­


et


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix


puis remets un rapport hijakhcits




je me mets ceci de coté:
C:\Documents and Settings\Jork'n-8\pqvns.exe
c:\Tmp\6FEB.tmp
C:\Documents and Settings\Jork'n-8\pqvns.exe
C:\WINDOWS\system32\qwau.exe
C:\WINDOWS\msauc.exe

Currieux
relance hijackthis

coche ces lignes
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmod­ule.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmbnubn.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

et clic sur Fix checked

j'ai peur q'avec combofix que le pc ne demarre plus la règle absolue est vrai et son contraire également ...(she­rred)

Salut jlp,
dejà merci pour ton aide,
MAIS tu dis: "scan avec
MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport"

MAIS je ne peux rien faire en mode normal, je peux q'en mode sans echec.
Dois-je programmer 1 scan au demarage du pc ?

Alors fais en mode sans echec le tout

J'ai fixé les lignes que tu m'as dit avec hijackthis.

tu dis de faire le tout ???? alors que juste avant tu disais avoir peur qu'avec combofix , que mon PC ne demarre plus .
heu ben j'utiliserais pas ton combofix si c si dangereux.

pour info j'ai WinASO Registry Optimizer, si ca peut faire laffaire mais j'ai peur de l'utiliser.

Si tu fais pas ton ordi ne sera pas reparé


je n'avais dis de fixer aucune ligne!!!

Omg, c sherred qui m'avais dit de fixer ces lignes ci-dessous, ce que j'ai fait. est-ce que c grave ? :
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmod­­ule.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmbnubn.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

bon j'ai fait le scan rapide avec Malwarebytes' Anti-Malware: 3 trucs supprimés apres redemarages, voici le log :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1753
Windows 5.1.2600 Service Pack 2

12/02/2009 12:09:58
mbam-log-2009-02-12 (12-09-58).txt

Type de recherche: Examen rapide
Eléments examinés: 60717
Temps écoulé: 1 minute(s), 49 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
c:\Tmp\6FEB.tmp (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati64si (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass driver (Trojan.Dropper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Tmp\6FEB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\msauc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mmmdszds.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mmmkflkf.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mmmlsdls.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpv601232632494.cpx (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3M42YN42\722l2[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jork'n-8\Local Settings\Temporary Internet Files\Content.IE5\ELGHI7WF\722l2[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ati64si.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\i386si.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpv771232632526.cpx (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\218.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\750.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

J'ai refais 1 scan rapide et ya plus rien d'infecté
J'ai redemmaré en mode normal mais c toujours pareil, impossible de faire koi que ce soit.

Bon je vais donc lancer le scan combofix, j'espere que ca va pas crasher mon PC !! j'ai peur là, j'y vais je croise les doigts...

Puree, SUPER yhaaaaaaaouuuuuuu genial ton program Combofix, j'ai du desinstaler AVAST, et maintenant je suis en mode C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
l et tout marche nickel , je vais redemarrer en mode normal voir si ca marche aussi...je croise les doigts.

ComboFix 09-02-11.02 - Administrateur 2009-02-12 13:25:50.1 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.848 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\15.exe
c:\windows\system32\drivers\62.exe
c:\windows\system32\drivers\843.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-12 au 2009-02-12 ))))))))))))))))))))))))))))))))))))
.

2009-02-12 12:28 . 2009-02-12 12:28 47,104 --a------ c:\windows\system32\mmmdocdo.dll
2009-02-12 12:13 . 2009-02-12 12:13 <REP> d-------- c:\documents and settings\Jork'n-8\Application Data\Malwarebytes
2009-02-12 11:46 . 2009-02-12 11:46 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-12 11:46 . 2009-02-12 11:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-12 11:46 . 2009-02-12 11:46 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-12 11:46 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 11:46 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 10:56 . 2009-02-12 10:56 <REP> d-------- c:\documents and settings\Administrateur\Tracing
2009-02-12 10:33 . 2009-02-12 10:33 <REP> d-------- c:\documents and settings\Administrateur\Application Data\ATI
2009-02-11 13:47 . 2009-02-11 13:47 32,256 --a------ c:\windows\system32\qwau.exe
2009-02-11 13:47 . 2009-02-11 13:47 32,256 ---h----- c:\documents and settings\Jork'n-8\pqvns.exe
2009-02-11 13:47 . 2009-02-11 13:47 26,625 --a------ c:\documents and settings\Jork'n-8\S87ekhV.exe
2009-02-11 13:47 . 2009-02-11 13:47 10,321 ---h----- c:\documents and settings\Jork'n-8\Jork'n-8.exe
2009-02-10 12:47 . 2004-07-12 13:10 81,920 --a------ c:\windows\system32\drivers\AC2003DLL.dll
2009-02-10 12:47 . 2004-02-26 17:52 10,752 --a------ c:\windows\system32\drivers\uGuru.SYS
2009-02-10 12:47 . 2003-09-10 09:03 10,414 --a------ c:\windows\system32\FlashMenu.sys
2009-02-10 12:47 . 2001-05-30 16:51 6,813 --a------ c:\windows\system32\drivers\AMI9XVXD.VXD
2009-02-10 12:47 . 1998-12-21 21:19 5,960 --a------ c:\windows\system32\drivers\HWDRV.SYS
2009-02-10 12:47 . 2002-10-02 22:54 5,018 --a------ c:\windows\system32\drivers\HWIOCTL.SYS
2009-02-10 12:47 . 2003-11-26 03:40 4,224 --------- c:\windows\system32\AC2003.sys
2009-02-10 12:47 . 2001-11-29 19:49 4,047 --a------ c:\windows\system32\drivers\MEMCTL.SYS
2009-02-10 12:47 . 2002-09-17 12:55 3,548 --a------ c:\windows\system32\WINFLASH.SYS
2009-02-10 12:47 . 2002-09-17 12:55 3,548 --a------ c:\windows\system32\drivers\WINFLASH.SYS
2009-02-10 12:47 . 2001-06-11 15:24 2,721 --a------ c:\windows\system32\drivers\AMINTSYS.SYS
2009-02-04 11:48 . 2009-02-05 14:44 <REP> d-------- c:\documents and settings\Jork'n-8\Application Data\FileZilla
2009-02-04 11:47 . 2009-02-04 11:48 <REP> d-------- c:\program files\FileZilla FTP Client
2009-02-02 15:24 . 2009-02-11 12:58 <REP> d-------- c:\program files\IPsO_3
2009-02-02 15:24 . 2009-02-02 15:24 27 --a------ c:\windows\ip32chk.bin
2009-02-02 15:21 . 2000-05-22 16:58 608,448 --a------ c:\windows\system32\comctl32.ocx
2009-02-01 12:13 . 2009-02-02 14:59 290,816 --------- c:\windows\Setup1.exe
2009-02-01 12:13 . 2009-02-02 14:59 74,752 --a------ c:\windows\ST6UNST.EXE
2009-01-31 14:40 . 2009-01-31 14:40 <REP> d-------- c:\documents and settings\All Users\Application Data\ATI
2009-01-31 14:38 . 2008-05-12 10:49 593,920 --------- c:\windows\system32\ati2sgag.exe
2009-01-31 14:37 . 2009-01-31 14:40 <REP> d-------- c:\program files\ATI Technologies
2009-01-30 15:53 . 2009-01-30 15:55 <REP> d-------- C:\rsit
2009-01-24 21:18 . 2009-01-24 21:18 <REP> d-------- c:\documents and settings\Jork'n-8\Application Data\vlc
2009-01-24 21:17 . 2009-01-24 21:17 <REP> d-------- c:\program files\VideoLAN
2009-01-22 01:54 . 2009-01-22 01:54 <REP> d-------- c:\program files\ABIT
2009-01-21 15:01 . 2009-01-21 15:01 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-21 15:01 . 2009-01-21 15:01 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-19 12:23 . 2009-01-19 12:23 <REP> d-------- c:\windows\Sun
2009-01-19 12:23 . 2009-01-21 15:01 <REP> d-------- c:\program files\Java
2009-01-19 12:22 . 2009-01-19 12:22 <REP> d-------- c:\program files\Fichiers communs\Java
2009-01-17 13:18 . 2009-02-11 11:42 <REP> d-------- c:\documents and settings\Jork'n-8\Tracing
2009-01-17 13:04 . 2009-01-17 13:04 <REP> d-------- c:\program files\Microsoft
2009-01-17 13:03 . 2009-01-17 13:03 <REP> d-------- c:\program files\Windows Live SkyDrive
2009-01-17 13:00 . 2009-01-17 13:00 <REP> d-------- c:\program files\Fichiers communs\Windows Live

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 17:00 --------- d-----w c:\program files\GtkRadiant-1.4
2009-02-10 23:12 --------- d-----w c:\documents and settings\Jork'n-8\Application Data\mIRC
2009-02-10 17:51 --------- d-----w c:\program files\mIRC
2009-02-10 11:47 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-09 20:19 --------- d-----w c:\documents and settings\Jork'n-8\Application Data\Mumble
2009-02-08 12:35 --------- d-----w c:\program files\eMule
2009-01-31 13:50 --------- d-----w c:\program files\UrbanTerror
2009-01-24 18:37 --------- d-----w c:\program files\Google
2009-01-17 12:16 --------- d-----w c:\program files\Windows Live
2009-01-16 14:25 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2009-01-06 20:06 356 ----a-w C:\drmHeader.bin
2008-12-22 10:44 --------- d-----w c:\documents and settings\Jork'n-8\Application Data\gtk-2.0
2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XMouseButton"="c:\program files\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe" [2007-07-18 356352]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-08-22 185896]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-21 136600]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ABIT uGuru"="c:\program files\ABIT\ABIT uGuru\uGuru.exe" [2003-09-22 192512]
"qwau"="c:\windows\system32\qwau.exe" [2009-02-11 32256]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-19 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\UrbanTerror\\ioUrbanTerror.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\UltraVNC\\winvnc.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Quake III Arena\\quake3.exe"=
"c:\\Program Files\\GtkRadiant-1.4\\GtkRadiant-1.4.0.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\Jork'n-8\\pqvns.exe"=

R0 AC2003;AC2003;c:\windows\system32\drivers\AC2003.sys [2008-06-30 4224]
R0 uGuru;uGuru;c:\windows\system32\drivers\uGuru.SYS [2009-02-10 10752]
S0 anhqak;anhqak;c:\windows\system32\drivers\tpjgxrg.sys --> c:\windows\system32\drivers\tpjgxrg.sys [?]
S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2008-07-03 6016]
S3 AmdTools;AMD Special Tools Driver;c:\windows\system32\DRIVERS\AmdTools.sys --> c:\windows\system32\DRIVERS\AmdTools.sys [?]
S3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [2008-08-30 161792]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - Winflash

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Autorun.exe root.ini
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe


.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\kdi6rwg3.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-12 13:26:54
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *1* *S*a*u*v*e*g*a*r*d*e*r* *l*a* *p*o*s*i*t*i*o*n* *d*e*s* *i*c*ô*n*e*s*\command]
@="c:\\WINDOWS\\system32\\IcoSauve.exe /AUTOSAVE"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *2* *R*e*s*t*a*u*r*e*r* *l*a* *p*o*s*i*t*i*o*n* *d*e*s* *i*c*ô*n*e*s*\command]
@="c:\\WINDOWS\\system32\\IcoSauve.exe /AUTOLOAD"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *3* *R*a*f*r*a*î*c*h*i*r* *l*e* *c*a*c*h*e* *d*e*s* *i*c*ô*n*e*s*\command]
@="c:\\WINDOWS\\system32\\Refresh.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *D*o*s*s*i*e*r*s* *p*a*r*t*a*g*é*s*\command]
@="c:\\WINDOWS\\system32\\mmc.exe c:\\WINDOWS\\system32\\fsmgmt.msc"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *G*e*s*t*i*o*n*n*a*i*r*e* *d*e* *d*i*s*q*u*e*s*\command]
@="c:\\WINDOWS\\system32\\mmc.exe c:\\WINDOWS\\system32\\diskmgmt.msc"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *G*e*s*t*i*o*n*n*a*i*r*e* *d*e* *p*é*r*i*p*h*é*r*i*q*u*e*s*\command]
@="c:\\WINDOWS\\system32\\mmc.exe c:\\WINDOWS\\system32\\devmgmt.msc"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *G*e*s*t*i*o*n*n*a*i*r*e* *d*e* *s*e*r*v*i*c*e*s*\command]
@="c:\\WINDOWS\\system32\\mmc.exe c:\\WINDOWS\\system32\\services.msc"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *I*n*f*o*r*m*a*t*i*o*n*s* *s*y*s*t*è*m*e* *(*S*I*W*)*\command]
@="c:\\WINDOWS\\system32\\Siw.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *M*S*C*o*n*f*i*g*:* *U*t*i*l*i*t*a*i*r*e* *d*e* *c*o*n*f*i*g*u*r*a*t*i*o*n* *s*y*s*t*è*m*e*\command]
@="c:\\WINDOWS\\pchealth\\helpctr\\binaries\\msconfig.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *O*b*s*e*r*v*a*t*e*u*r* *d*'*é*v*é*n*e*m*e*n*t*s*\command]
@="c:\\WINDOWS\\system32\\eventvwr.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *O*p*t*i*m*i*s*e*r* *l*e*s* *f*i*c*h*i*e*r*s* *l*e*s* *p*l*u*s* *u*t*i*l*i*s*é*s*\command]
@="c:\\WINDOWS\\System32\\rundll32.EXE advapi32.dll,ProcessIdleTasks"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *R*e*g*i*s*t*r*e*:* *E*d*i*t*e*r*\command]
@="c:\\WINDOWS\\Regedit.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *R*e*g*i*s*t*r*e*:* *m*e*t*t*r*e* *à* *j*o*u*r* *s*a*n*s* *r*e*d*é*m*a*r*r*e*r*\Command]
@="c:\\WINDOWS\\System32\\RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters ,1, True"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\" * *V*é*r*i*f*i*e*r* *l*a* *s*i*g*n*a*t*u*r*e* *d*e*s* *p*i*l*o*t*e*s*\command]
@="c:\\WINDOWS\\system32\\verifier.exe"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(468)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-02-12 13:27:44
ComboFix-quarantined-files.txt 2009-02-12 12:27:39

Avant-CF: 27 467 624 448 octets libres
Après-CF: 27,452,108,800 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="XP Pro - Mode sans echec avec reseau" /fastdetect /NoExecute=OptIn /sos /safeboot:network

185

HIJAXKTHIS log maintenant :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:02, on 12/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ABIT\ABIT uGuru\uGuru.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\qwau.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\internet explorer\iexplore.exe
D:\telecharge\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [XMouseButton] C:\Program Files\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ABIT uGuru] C:\Program Files\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [qwau] C:\WINDOWS\system32\qwau.exe \u
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Jork'n-8] C:\Documents and Settings\Jork'n-8\Jork'n-8.exe /i
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmbnubn.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
End of file - 5264 bytes

Salut ;)

je croi que ta pas de problème windows !

verifier la température de votre processeur psk si ca chof trop il se block automatiquement (raison de secu)

vérifier les câble et l'alimentation si tous est bien branché

dite moi si ça marche !

HO mon dieu wtf!!!!!!!!!!!!!!! :(:(:(:(:(:(:(:(:(:(:(:(:(

je me suis trompé, apres le scan de combofix, windows c t relancé en mode normal en fait, et ça marchait nickel,
MAIS, quand j'ai voulu reinstaller Avast, lors du redemarrage suivant, l'ordinateur c encore bloqué et avast avait 1 croix rouge !!!
donc g relancé en mode sans echec et g desinstallé AVAST,
puis g redemarré en mode normal et là stupeur L'HORREUR: ECRAN BLEU DE LA MORT QUI TUE!!!!!:(:(:(:(:(:((:

mon processeur ne chauffe pas trop, il est a 62°, mes ventilots tournes biens pas de problem de surchauffe.

Là je suis en mode sans echec, et je ne sais plus koi faire, je pleure devant mon ecran....
la derniere fois que j'ai eu cet ecran bleu remonte à plus d'1 an et avec laide d'1 mec bien balaise on avait pas pu faire autrement que de formatter ce que je ne veux absoluement pas
SVP que dois-je faire.... ?

Hello

dans inviter de commande tape chkdsk /r en safemode (mode sans echec)

si ça marche pas répare votre windows avec votre CD WinXP

Fait deja ca
Ccleaner http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner
tu fait le nettoyage
Fichiers temporaires de Windows
Cookies, cache, historique d'Internet Explorer, Opera et Firefox
Documents récents de Windows
et ensuite reparation de la base de registre. >>>>>>>>important la règle absolue est vrai et son contraire également ...(sherred)

Je suis dégouté !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

je viens de faire le chkdsk /r en mode sans echec et apres 74% de letape 4, je suis parti,
et quand je suis revenu 20min + tard, et bien: ECRAN BLEU DE LA MORT QUI TUE
JE PLEURE LA .

devrais-je faire 1 restauration du systeme, ou bien refaire le scan Combofix ?????

pensez vous qu'il me sera possible de recuperer mon OS comme avant ?

je suis dégouté !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

SI A LE CD
LA REPARATION DE XP AVEC LE CD

il faut utilisé le cd en boot
attention un cd de XP Pro sur une installation de XP familial ne fonctionnera pas et inversement

1er
Le bios

1.Pour que tu puisse démarrer avec le cd, il faut « l'écrire »dans le BIOS
entre dans le BIOS au démarrage de ton PC en tapotant sur la touche suppr de ton clavier (cela peut changer suivant votre machine, mais c’est toujours indiqué sur l’écran au démarrage)
2.Une fois dans le bios tu cherche « first boot device » et tu met le cdrom en 1er
(pour t'aider ->regarde en bas de l'écran tu doit avoir les touches et leurs correspondances)

3. Met ton cd de Windows xp ou vista dans le lecteur.

4. Sauvegarde les changements.

5. Redémarre.

2eme
LA REPARATION



1.Une fois redémarré Appuie sur une touche pour lancer le cd-rom.

2.Tu laisse faire le chargement des pilotes

3.ensuite tu aura plusieurs options si tu fait R « ce qui parait logique » tu auras la console de
récupération,ce n'est pas le but rechercher...ici donc tu doit appuyer sur ENTREE et non sur R c'est comme si tu faisait une nouvelle installation

4. Clique sur F8 pour continuer

5. là tu sélectionne le système d'exploitation« si tu en a plusieurs » et tu appuie sur R

6.attention il te faut la clé de ton xp « fait gaffe si ton clavier numérique est verrouillé appuie sur la touche Verr/Num »
7.bien..tu n'a plus qu'à attendre une ½ heure
la règle absolue est vrai et son contraire également ...(sherred)

Re,
PINGPONG je veux bien faire 1 reparation de la base de registre;
Sherred, 1 restauration à 1 date anterieure ne serait-elle pas + sure qu'1 reparation windows ? sachant que j'ai lecran bleu de la mort qui tue

et j'ai WinASO Registry Optimizer (version complete).

j'ai envie de faire 1 restauration, ce qui a sauver le pc d'1 ami la derniere fois... qu'en pensez vous ?

Si tu restaure tu prend le risque de restaurer les virus avec
avec une réparation via le cd de xp, tu ne risque rien
et tu ne perd pas tes données
a toi de voir

c'est pour cela que j'ai hésité a utilise combo tout a leur au vu de l'état de ton pc , bien que jlpjlp, "qui est certainement le meilleur de nous tous" , te l'a conseillé, perso je ne maitrise pas suffisamment la règle absolue est vrai et son contraire également ...(sherred)

Re, merci de ton aide dejà,

tu dis: avec une réparation via le cd de xp, tu ne risque rien
t sur qu'il est impossible que lecran bleu de la mort reapparaisser lors de cette reparation ?

j'ai tres peur de fusiller mon instalation....

Aucun risque crois moi

si tu a un ecran bleu lors de la réparation ; c'est que tu a un probleme HARD

le disque dur ou la carte video par exemple

mais dans ce cas ......c'est une autre histoire

suis la procedure que je t'ai ecrite a la LETTRE
et normalement ca doit le faire

la règle absolue est vrai et son contraire également ...(she­rred)

Bon je vais essayer la reparation, mais je c pas si le CD de XPpro que j'ai me le permet,
enfin si tu me vois plus repondre aujourdhui c que lecran bleu de la mort m'aura tout bouziller
je croise les doigts, @tt