Virus impossible d'ouvrir Antivir, ni autreRésolu/Fermé

Question

Bonjour,
J'ai récemment eu un virus sur mon pc portable.
Il ne cessait de se redémarrer. J'ai donc demandé l'ouverture de windows à partir du dernier point de restauration. Cette fois l'ordinateur s'allume, mais je ne peux ouvrir aucun logiciel, ni "mes documents" etc.

Je suis donc entrée en mode sans échec. Et là j'ai pu mettre en route n'importe quel logiciel (word, vidéo etc.).

Cependant, il m'est impossible de lancer antivir (ni à partir de l'icône, ni à partir du fichier source).
Je ne peux pas non plus le réinstaller.
J'ai essayé d'installer un autre logiciel (avast) mais ça ne fonctionne pas non plus.

Dès que je sors du mode sans échec, je suis bloquée.

Etant donné que je n'ai aucun fichier indispensable sur ce pc (je sauvegarde tout sur dd externe), je pourrais réinstaller le système. Mais voilà, j'ai racheté ce pc à mon ancien travail, et ils ne m'ont pas fourni le CD d'installation de windows xp pro. J'ai bien ma clé, mais pas le CD.

Comment me sortir de cette situation ?
Merci d'avance pour vos réponses.

gen-hackman · Answer

salut :

&#9654 Télécharge FindyKill sur ton bureau : 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

! Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Double clique (clic droit "en tant qu'administrateur" pour Vista) sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

gen-hackman · Answer

hello

findykill ne sert pas uniquement que pour bagle

########### [ Option 2  ( Suppression )  ] 



&#9654 Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

&#9654 Le pc va redémarrer automatiquement ...

&#9654 le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

&#9654 Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

&#9654 Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Bloupblop · Answer

Merci pour ta réponse.
Je ne réponds que maintenant car j'étais à un congrès.

J'ai effectué tout ce que tu m'as conseillé, mais je suis toujours bloquée.
J'ai eu une autre question : je dois bientôt donner des cours, et j'ai donc besoin de mon ordi portable. Est-ce qu'en mode sans échec, ma sortie vidéo fonctionnera afin que je projette mon diaporama avec le vidéo-projecteur ?

Voici le rapport de Findykill :

############################## | FindyKill V5.024 |

# User : Fanny (Administrateurs) # FAFA
# Update on 09/01/2010 by El Desaparecido
# Start at: 17:44:39 | 16/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#    Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # 
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 27,95 Go (8,92 Go free) # NTFS
# D:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\logonui.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\System32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\FastNetSrv.exe
C:\Windows\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\Windows\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\Prefetch |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Documents and Settings\Fanny\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre | 


################## | Etat |

# Mode sans echec restauré ! 

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH |


################## | Cracks > Keygens > Serials |


################## | ! Fin du rapport # FindyKill V5.024 ! |

Merci d'avance pour votre aide.

Bloupblop · Answer

J'ai oublié de préciser que le virus s'est déclaré quand j'ai branché mon ordinateur portable à internet (ce que je ne fais en temps normal jamais). J'étais à peine connectée depuis quelques secondes que mon ordinateur s'est retrouvé dans l'état décrit précédemment. Le virus était-il "dormant" ?
Je ne sais pas si ça aidera pour le reconnaître...

Je pousse vraiment un appel à l'aide !!!!!
Merci à mon sauveur d'avance ;)

gen-hackman · Answer

ok

salut ,

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

Bloupblop · Answer

Merci beaucoup pour ton aide Gen-hackman.

Voici le rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201001/cijGBMZrwc.txt
Et le rapport extra : http://www.cijoint.fr/cjlink.php?file=cj201001/cijzkYOsuV.txt

gen-hackman · Answer

Bonjour tu es très infecté :

▶ Sauver les Docs sans les fichichiers cible.

il faut sauvegarder uniquement tes photos , tes musiques , tes video ,sur un support externe,de preference gravé.

toute autre sauvegarde serait fortuite à la bonne marche de la désinfection (ni programmes,cracks ou keygens,aucun executable).

Ces extensions sont à proscrire : .exe, .scr, .zip, .rar, html, htm, cracks, keygens,Key_générators,serial,patchs,Install , etc......(ces derniers contenant le ver Bagle en prime)
_______________________________________________

▶ Désactive la restauration système, pour cela , suis les instructions des liens:

Lien XP

Lien Vista
_________________________________________________

▶ Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista).
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________

▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement)
___________________________________________________

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Bloupblop · Answer

Bonsoir,

J'ai essayé de désactiver la restauration système mais sans succès.
Je suis passé par mon compte habituel, le compte administrateur, en mode sans échec, en mode normal, par le poste de travail, par le panneau de configuration, en tapant la fonction directement dans exécuter, rien n'a marché.

J'ai lancé Toolscleaner qui ne m'a rien détecté, si ce n'est Findykill.

J'ai lancé Drweb, mais quand il fait l'analyse rapide, il me demande s'il peut désinfecter le fichier ativxx.exe (quelque chose comme ça). Je dis oui, et mon ordinateur s'éteint et se rallume.
Que dois-je faire ?

Y a-t-il un moyen de connaître le fichier source du virus ?

Merci d'avance.

gen-hackman · Answer

ce virus a infecté tous les executables de ton pc

as-tu lancé drWeb en mode sans echec ?

Bloupblop · Answer

Oui.

gen-hackman · Answer

et bien poste le rapport comme je t ai indiqué

Bloupblop · Answer

Le voici : http://www.cijoint.fr/cjlink.php?file=cj201001/cijSD6cVbU.zip

gen-hackman · Answer

grave-le d'un autre pc sur un cd et repasse-le avec tous tes peripheriques branchés

Bloupblop · Answer

Dr Web provient déjà d'un CD gravé avec un autre PC.

Mon oncle m'a prêté son CD de Windows XP pro, et j'ai toujours ma propre clé pour activer windows. Est-ce qu'il ne serait pas préférable que je réinstalle windows complètement ?

gen-hackman · Answer

non car cette infection supporte le formatage , cela serait vain ........mieux vaut l'eradiquer

Bloupblop · Answer

Même en formatant complètement la partition ?

Alors que dois-je faire, étant donné que je suis bloquée avec Dr web ?

gen-hackman · Answer

bonsoir

Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

    * Téléchargez le scanner portable AVPTool sur votre Bureau.



---> Pour redémarrer en mode sans échec :
- Redémarrez ton PC.
- Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisissez Mode sans échec.
- Choisissez votre session habituelle.

    * Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
    * Répondez Oui à la question Do you want to continue installation ?.
    * Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
    * L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
    * Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
    * A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
    * Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
    * Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
    * Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
    * Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
    * Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
    * Postez le rapport dans votre prochaine réponse si vous avez créé un sujet sur le forum Virus/Sécurité.

Bloupblop · Answer

Bonsoir,
J'ai lancé AVPTool comme tu me l'as conseillé.
Le lien étant mort, j'ai trouvé le logiciel ailleurs.
Je l'ai installé et ai mis en route le scan. La nouvelle version d'AVP Tool n'ayant pas tout à fait la même configuration que ton explication, j'ai un peu pataugé dans la semoule.

Le scan se déroule sans souci, mais quand j'arrive à la phase de désinfection, je reste bloquée à 53% sur le fichier C:\WINDOWS\system32\mswsock.dll.
Je l'ai relancé une 2ème fois même souci.

Je peux accéder au rapport, mais il n'y aucune case pour le sauvegarder. J'en déduis que tant que la désinfection n'est pas finie, je ne peux pas sauvegarder le rapport ?

Merci pour ton aide ^^

gen-hackman · Answer

salut oui c est exact...desole pour le timing mais beaucoup pris ce week-end

Bloupblop · Answer

Pas de souci, c'est déjà gentil de ta part de m'aider ^^
Alors que dois-je faire maintenant ?
J'ai réessayé mais en fait la désinfection bloque sur divers fichiers, pas toujours sur le même.
Merci d'avance

gen-hackman · Answer

retente DRWeb en mode sans echec sans prise en charge reseau

Bloupblop · Answer

J'ai toujours le même problème sur le même fichier : l'écran s'éteint et l'ordinateur se rallume.
J'ai essayé de passer les fichiers "ati" en les désinfectant pas, mais le problème revient sur d'autres fichiers.
Quelle est la suite des opérations ?

gen-hackman · Answer

as-tu ce fichier dans ton pc ? :

C:\Windows\System32\Blocker.dll

Bloupblop · Answer

Non.

gen-hackman · Answer

tu es sur que c'est le bon pilote graphique que tu as installé ??

Bloupblop · Answer

Euh eh bien je n'en sais trop rien, car comme je te l'ai dit, j'ai racheté cet ordinateur à mon travail, donc je ne sais pas ce qu'ils avaient installé à l'origine dessus.
Ma carte graphique est une ATI Mobility Radeon 7500 si ça peut t'aider.
Alors qu'est-ce que je dois faire ?

gen-hackman · Answer

regarde dans le gestionnaire des peripheriques voir si tu as un point d interrrogatiion ou d exclamation

demarrer/panneau de config/systeme/materiel/gestionnaire des perifs

Bloupblop · Answer

Non, il n'y a pas de point d'interrogation ou d'exclamation.
Il me dit que le périphérique fonctionne correctement.

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau 

&#9654 Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

Bloupblop · Answer

Bonjour,
Je n'ai pas pu désactiver mon antivirus, car apparemment j'ai déjà supprimé des fichiers qui empêchent son fonctionnement.

Voici le contenu du rapport :
List'em by g3n-h@ckm@n 1.2.1.2
User : Fanny (Administrateurs) 
Update on 29/01/2010 by g3n-h@ckm@n ::::: 11:50 
Start at: 10:34:47 | 30/01/2010
Contact : g3n-h@ckm@n sur CCM

   Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # 
Internet Explorer 6.0.2600.0000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 27,95 Go (8,93 Go free) | NTFS
D:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\FastNetSrv.exe
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\System32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Fanny\Local Settings\Temp\1.tmp\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE	REG_SZ         	C:\Windows\System32\ctfmon.exe
MSMSGS	REG_SZ         	"C:\Program Files\Messenger\msmsgs.exe" /background
SuperCopier.exe	REG_SZ         	C:\Program Files\SuperCopier\SuperCopier.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
ATIModeChange	REG_SZ         	Ati2mdxx.exe 
AtiPTA	REG_SZ         	atiptaxx.exe 
eabconfg.cpl	REG_SZ         	C:\Program Files\Compaq\EAB\EabServr.exe /Start 
hkss	REG_SZ         	C:\Program Files\Compaq\Hotkey Software\hkss.exe 
Cpqset	REG_SZ         	c:\compaq\cpqsetup\cpqset.exe 
LTWinModem1	REG_SZ         	ltmsg.exe 9 
AdaptecDirectCD	REG_SZ         	"C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" 
Spooler SubSystem App	REG_SZ         	C:\Windows\System32\spoolsvc.exe 
VT100 Emulator	REG_SZ         	C:\Windows\System32\VT100.EXE 
mmsass	REG_SZ         	ljnwy.exe 
Windows Network Firewall	REG_SZ         	C:\Windows\System32\firewall.exe 
reader_s	REG_SZ         	C:\Windows\System32eader_s.exe 
Calc32	REG_SZ         	C:\Windows\system32egedit.exe 
vkqzej	REG_SZ         	RUNDLL32.EXE C:\Windows\System32\msjuehus.dll,w 
KernelFaultCheck	REG_EXPAND_SZ  	%systemroot%\system32\dumprep 0 -k 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
mmsass	REG_SZ         	ljnwy.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	145 (0x91) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
\??\C:\Windows\system32\winlogon.exe	REG_SZ         	\??\C:\Windows\system32\winlogon.exe:*:enabled:@shell32.dll,-1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\Microsoft XML Parser for Java
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{A5BF49A2-94F1-42BD-F434-3604812C807D}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.fr/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
SharedAccess : 0x2 
wuauserv : 0x2 

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Documents and Settings\Fanny\Local Settings\Temp\1.tmp
## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
## 
86656,a64013e98426e1877cb653685c5c0009,1f2a1c91c6532e24309f4f70393b6e4c093b89736545b26034cd3d04850a90e2,C:\Windows\System32\Drivers\atapi.sys


Sources
======= 
 
C:\WINDOWS\system32\drivers\atapi.sys  

Référence :
==========

Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 
=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse                  	 
    27,95 Go total,  8,94 Go libre (31%),  42% fragment‚ (fragmentation du fichier 85%)

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Program Files\Protection System  
Present !! : C:\Windows\SET3.tmp  
Present !! : C:\Windows\SET7.tmp  
Present !! : C:\Windows\sc.exe  
Present !! : C:\Windows\system32\x3daudio1_0.dll  
Present !! : C:\Windows\system32\xinput9_1_0.dll  
Present !! : C:\Windows\System32\BtwSrv.dll  
Present !! : C:\Windows\System32\FastNetSrv.exe  
Present !! : C:\Windows\System32\FInstall.sys  
Present !! : C:\Windows\System32\firewall.exe  
Present !! : C:\Windows\System32\lsm32.sys  
Present !! : C:\Windows\System32eader_s.exe  
Present !! : C:\Windows\System32\spoolsvc.exe  
Present !! : C:\Windows\TEMP\scs29.tmp  
Present !! : C:\Windows\TEMP\scs8.tmp  
Present !! : C:\Windows\TEMP\scsA.tmp  
Present !! : C:\Windows\TEMP\scsC.tmp  
Present !! : C:\Windows\winstart.bat  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\mmsass  
Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Runeader_s  
Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Spooler SubSystem App  
Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\vkqzej  
Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Network Firewall  
Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\mmsass  
Present !! : HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ygua8e7yhuiesfha876yfauy8fe  
Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\avcenter.exe"  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\avgnt.exe"  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Present !! : "HKLM\Software\Trymedia Systems"  
Present !! : HKLM\SOFTWARE\AGprotect  
Present !! : HKLM\SYSTEM\ControlSet001\Enum\Root\Legacy_BTWSRV  
Present !! : HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_FASTNETSRV  
Present !! : HKLM\SYSTEM\ControlSet001\Services\fastnetsrv  
Present !! : HKLM\SYSTEM\ControlSet002\Enum\Root\Legacy_BTWSRV  
Present !! : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_FASTNETSRV  
Present !! : HKLM\SYSTEM\ControlSet003\Enum\Root\Legacy_BTWSRV  
Present !! : HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_FASTNETSRV  
Present !! : HKLM\SYSTEM\CurrentControlSet\Enum\Root\Legacy_BTWSRV  
Present !! : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FASTNETSRV  
Present !! : HKLM\SYSTEM\CurrentControlSet\Services\btwsrv  
Present !! : HKLM\SYSTEM\CurrentControlSet\Services\fastnetsrv  

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-30 10:54:42
Windows 5.1.2600  NTFS

detected NTDLL code modification:
ZwOpenKey, ZwQueryValueKey, ZwOpenFile, ZwQueryDirectoryFile

scanning hidden processes ...

C:\WINDOWS\Temp\init.exe [2024] 0x81417358

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wjjgjfu]
"Type"=dword:00000001
"Start"=dword:00000000
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wjjgjfu]
"Type"=dword:00000001
"Start"=dword:00000000
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wjjgjfu]
"Type"=dword:00000001
"Start"=dword:00000000
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"

scanning hidden registry entries ...

scanning hidden files ...

C:\Windows\system32\kbdsock.dll 3072 bytes executable
C:\Windows\system32\mshlps.dll 3072 bytes executable

scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 2


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

==========
Programs
==========

123 Free Solitaire
Adobe
Alwil Software
Analog Devices
AntiVir PersonalEdition Classic
COMPAQ
ComPlus Applications
Creative Labs
directx
Eidos Interactive
Fichiers communs
Foxit Software
Free
Frozen-Bubble
GIMP-2.0
Google
InstallShield Installation Information
Internet Explorer
InterVideo
IPA93
K-Lite Codec Pack
List_Kill'em
Messenger
microsoft frontpage
Microsoft Office
Movie Maker
Mozilla Firefox
MSN
MSN Gaming Zone
NetMeeting
Outlook Express
PopCap Games
Protection System
Raccourcis de programmes
Real Alternative
Roxio
Services en ligne
Square Soft, Inc
SuperCopier
Ubisoft
Uninstall Information
VideoLAN
Western Digital
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox

============
Drive C:
============

Bibliorom 2
boot.ini
Bootfont.bin
compaq
CPQAPPS
Documents and Settings
FindyKill
hiberfil.sys
I386
IO.SYS
Kill'em
List'em.txt
Log.txt
MSDOS.SYS
MSOCache
NTDETECT.COM
ntldr
pagefile.sys
Program Files
RECYCLER
System Volume Information
System.sav
TCleaner.txt
WINDOWS
YAMAHA
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Que dois-je faire maintenant ?

gen-hackman · Answer

salut :

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

Bloupblop · Answer

Bonsoir,
Voici le rapport de Kill'em :
Kill'em by g3n-h@ckm@n 1.2.1.2 
 
User : Fanny (Administrateurs) 
Update on 29/01/2010 by g3n-h@ckm@n ::::: 11:50 
Start at: 20:04:45 | 31/01/2010
Contact : g3n-h@ckm@n sur CCM

   Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # 
Internet Explorer 6.0.2600.0000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 27,95 Go (8,93 Go free) | NTFS
D:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\FastNetSrv.exe
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\System32\cmd.exe
C:\Documents and Settings\Fanny\Local Settings\Temp\2.tmp\ERUNT.EXE
C:\Documents and Settings\Fanny\Local Settings\Temp\2.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Program Files\Protection System 
Quarantined & Deleted !! : C:\Windows\SET3.tmp 
Quarantined & Deleted !! : C:\Windows\SET7.tmp 
Quarantined & Deleted !! : C:\Windows\sc.exe 
 
Quarantined & Deleted !! : C:\Windows\system32\x3daudio1_0.dll 
Quarantined & Deleted !! : C:\Windows\system32\xinput9_1_0.dll 
Quarantined & Deleted !! : C:\Windows\System32\BtwSrv.dll 
Quarantined & Deleted !! : C:\Windows\System32\FastNetSrv.exe 
Quarantined & Deleted !! : C:\Windows\system32\FInstall.sys 
Quarantined & Deleted !! : C:\Windows\System32\firewall.exe 
Quarantined & Deleted !! : C:\Windows\system32\lsm32.sys 
Quarantined & Deleted !! : C:\Windows\system32\reader_s.exe 
Quarantined & Deleted !! : C:\Windows\System32\spoolsvc.exe 
Quarantined & Deleted !! : C:\Windows\TEMP\scs29.tmp 
Quarantined & Deleted !! : C:\Windows\TEMP\scs8.tmp 
Quarantined & Deleted !! : C:\Windows\TEMP\scsA.tmp 
Quarantined & Deleted !! : C:\Windows\TEMP\scsC.tmp 
Quarantined & Deleted !! : C:\Windows\winstart.bat 
 
==============
host file OK !
==============

========
Registry
========
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\mmsass  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\reader_s  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Spooler SubSystem App  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\vkqzej  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Network Firewall  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\mmsass  
Deleted : HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ygua8e7yhuiesfha876yfauy8fe  
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}  

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 
Aucun changement apparent, tout reste bloqué en mode autre que sans échec.
Quelle est la suite des opérations ?

gen-hackman · Answer

repasse DRWeb(gravé bien sur) en laissant branché tous tes peripheriques

Bloupblop · Answer

Mon ordinateur s'éteint toujours sur les fichiers ati...

gen-hackman · Answer

relance list_kill'em , option desinstaller , retelecharge-le , reinstalle-le , et refais l option 2 directement stp

Bloupblop · Answer

C'est fait, voici le rapport : 
Kill'em by g3n-h@ckm@n 1.2.1.4 
 
User : Fanny () 
Update on 02/02/2010 by g3n-h@ckm@n ::::: 00.45 
Start at: 17:15:32 | 02/02/2010
Contact : g3n-h@ckm@n sur CCM

   Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # 
Internet Explorer 6.0.2600.0000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 27,95 Go (9,19 Go free) | NTFS
D:\ -> Disque CD-ROM | 1,73 Mo (0 Mo free) [Mon disque] | CDFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\System32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Fanny\Local Settings\Temp\4.tmp\ERUNT.EXE
C:\Documents and Settings\Fanny\Local Settings\Temp\4.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
 
==============
host file OK !
==============

========
Registry
========
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\avcenter.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\avgnt.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : "HKLM\Software\Trymedia Systems"  
Deleted : HKLM\SOFTWARE\AGprotect  
Deleted : HKLM\SYSTEM\ControlSet001\Enum\Root\Legacy_BTWSRV  
Deleted : HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_FASTNETSRV  
Deleted : HKLM\SYSTEM\ControlSet001\Services\fastnetsrv  
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\Legacy_BTWSRV  
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_FASTNETSRV  
Deleted : HKLM\SYSTEM\ControlSet003\Enum\Root\Legacy_BTWSRV  
Deleted : HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_FASTNETSRV  
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\btwsrv  
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\fastnetsrv  

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 
Que dois-je faire ?

gen-hackman · Answer

voila

salut

retente drWeb je pense que ton pc ne s eteindra plus sous l'effet du scan

Bloupblop · Answer

Dr Web s'éteint toujours lors de la désinfection.
Que dois-je faire ?

gen-hackman · Answer

mets windows a jour

gen-hackman · Answer

essaie cet outil :

Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

Étape 1 :

    * Téléchargez eScan Antivirus Toolkit sur votre Bureau.
    * Double-cliquez le fichier mwav.exe qui se trouve sur le Bureau ; dézippez les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer et vous devez le quitter (cliquez sur Exit puis Exit).
    * Double-cliquez sur le Poste de travail (Ordinateur sous Vista), puis double-cliquez sur le lecteur principal (habituellement C:\), double-cliquez sur le dossier Kaspersky ; ensuite, double-cliquez sur le fichier kavupd.exe. Vous verrez maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
    * Lorsque la mise à jour sera complétée, vous verrez Press any key to continue ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
    * Sélectionnez/copiez tous les fichiers présents dans le dossier C:\Downloads, puis collez-les dans le dossier C:\Kaspersky. Acceptez à l'invite de remplacer les fichiers existants.



Ne pas lancer le scan tout de suite !

Étape 2 :

    * Redémarre ton PC.
    * Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
    * Dans le menu d'options avancées, choisis Mode sans échec.
    * Choisis ta session.



Étape 3 :

    * Pour lancer eScan Antivirus Toolkit, trouvez le fichier mwavscan.com situé dans le dossier C:\Kaspersky.
    * Double-cliquez sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
    * Il est très important de bien cocher ces cases sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
    * Cochez la case Drive, ce qui donne accès à une nouvelle case Drive (bouton rond) juste dessous ; cochez ce bouton Drive (très important...), et vous verrez une nouvelle boîte de navigation apparaître à la droite. Cliquez sur la petite flèche de cette boîte and choisissez la lettre de votre disque dur, habituellement C:\.
    * Juste au-dessous, assurez-vous que Scan All Files est coché et non Program Files.
    * Cliquez sur Scan Clean et laissez le tool vérifier tout le disque dur (ça peut être long...). Lorsque terminé, vous verrez Scan Completed. Ne pas quitter tout de suite !
    * Ouvrez un nouveau fichier Bloc-notes (cliquez sur "Démarrer" > "Programmes" > "Accessoires" > "Bloc-notes"), puis copiez/collez tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegardez-le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

fais-le passer par cijoint.fr

Bloupblop · Answer

Et comment je fais pour faire la mise à jour sans accès à internet ?
Merci d'avance

gen-hackman · Answer

donc tu me parles d'un autre pc là ?

Bloupblop · Answer

Oui de mon pc "fixe".
C'est mon pc portable qui est totalement en rade ^^'.

gen-hackman · Answer

sans accès à internet ? 

pourquoi n'as-t-il plus internet ?

Bloupblop · Answer

Eh bien il n'a pas accès à Internet car il ne fonctionne qu'en mode sans échec, et il me semble qu'en mode sans échec, on ne peut pas accéder à Internet. Ce n'est pas le cas ?

J'avoue ne pas avoir essayé d'accéder sur Internet car je n'utilisais pas mon ordinateur portable pour aller sur internet. Donc je n'ai pas de clé wifi etc. Si je veux avoir internet, je dois le brancher directement à ma box.

Merci d'avance.

gen-hackman · Answer

en fait ca depend sous quel mode sans echec tu es

avec ou sans prise en charge reseau

Bloupblop · Answer

Euh... eh bien j'ai toujours fait le mode sans échec tout simple. 
Donc je peux passer par le mode sans échec avec prise en charge réseau et j'aurais accès à internet ?
Dans ce cas-là, je fais toujours eScan Antivirus Toolkit ?

gen-hackman · Answer

oui

Bloupblop · Answer

Ok, merci !
J'ai été un peu débordée ces 2 derniers jours, donc je m'en occupe ce soir.

Bloupblop · Answer

Bonsoir,
Ca y est j'ai essayé de lancer ton logiciel.
Malheureusement, quand j'essaie de faire la mise à jour, il me dit tout de suite "Initialize failed". Pourtant la connexion internet est opérationnelle, car j'arrive sans souci à aller sur internet.
Du coup, j'ai essayé de lancer le logiciel sans faire la mise à jour, mais ça ne marche pas, ça me dit "Internal error". 
J'ai réinstallé le logiciel, mais le problème reste présent.

Que dois-je faire ?

gen-hackman · Answer

salut tente un scan comme tel on verra le resultat mais je pense que ton pc est trop atteint par le Ver ViruT et que tu es bien pôur un formatage de bas niveau...

Bloupblop · Answer

Bonjour,
J'ai déjà essayé de lancer le scan, mais ça ne marche pas, ça me dit "Internal error". 
Que dois-je faire ?
Merci d'avance.

gen-hackman · Answer

salut je pense que tu vas devoir effectuer un formatage de bas niveau....tu as le cd de windows ?

Bloupblop · Answer

Salut.
Oui, je l'ai ^^. 
Et comment fait-on un formatage de bas niveau ^^' ?

gen-hackman · Answer

hello je pense que tu vas trouver des infos interessantes ici

https://www.bing.com/search?q=formatage+de+bas+niveau&src=IE-SearchBox&FORM=IE8SRC&toHttps=1&redig=9BCD6D396AB44AFD836AC269EBD4A7BF

Bloupblop · Answer

Je vois parfois qu'on propose de formater avec Killdisk (comme ici : https://forums.commentcamarche.net/forum/affich-37636608-formater-avec-killdisk
Est-ce que tu penses que c'est une bonne idée ou bien il vaut mieux que je commence par un simple formatage de bas niveau ?

Ton moteur de recherche donne plusieurs liens, mais certains disent qu'il faut télécharger un logiciel pour faire un formatage de bas niveau, d'autres qu'il faut passer par le bios etc. Je suis un peu perdue O_O... 
Peux-tu me donner un lien vers une page claire et m'expliquer simplement comme je dois faire stp ?

Merci d'avance

Bloupblop · Answer

Désolée pour le double post, un petit oubli :
Je vois que sur ces sites, ils disent qu'il faut bien choisir le logiciel selon notre disque dur pour faire le formatage de bas niveau, car sinon cela risque de mettre hors service le PC. Mais je ne sais pas quel logiciel je dois choisir ^^'.
Merci encore d'avance.

gen-hackman · Answer

salut je pense qu'avec killdisk ce sera largement suffisant

voici un tutoriel d'utilisation :

http://consultaide.e-monsite.com/rubrique,tutoriel-killdisk-en-images,242184.html

Bloupblop · Answer

Ok, merci !
Je fais ça dans la semaine et je te tiens au courant ;)

gen-hackman · Answer

ok ;)

Bloupblop · Answer

Bonsoir,
Ca y est le grand nettoyage est fait =).
Tout a l'air de fonctionner pour le moment. Il n'y a qu'une chose de bizarre, c'est que mon ordi est devenu très très très lent. Alors qu'avant il ne l'était pas du tout. Cela m'étonne, d'autant plus qu'il y a très peu de fichiers dessus pour le moment...
Est-ce que ça peut avoir un lien avec le virus ou bien mon nettoyage ? Faut-il refaire des partitions par exemple ?
Merci d'avance !

gen-hackman · Answer

ssalut killdisk a ete effectué ???

Bloupblop · Answer

Oui j'ai fait killdisk, et j'ai réinstallé windows xp pro ^^

gen-hackman · Answer

ok salut attends tous les correctifs de windows en mises a jour

Bloupblop · Answer

Voilà, j'ai fait toutes les mises à jour de Windows. Je n'ai installé que très peu de fichier (word, vlc, antivir, pc tools firewall, spybot) et mon pc est toujours très très lent au démarrage (au moins 5 min avant d'être opérationnel). J'en suis vraiment étonnée car avant il était très rapide au démarrage.
Y a-t-il un lien avec mon nettoyage ? Le virus peut-il être toujours présent ? 
J'ai déjà lancé une analyse antivirus, et spybot et antimalware et RAS.

gen-hackman · Answer

hello tu as desavtivé le parefeu de windows ?

Bloupblop · Answer

Non, mais pour finir j'ai désinstallé PC tools. Il est toujours aussi lent.
J'ai aussi désinstallé antivir, et installé avast, idem.
Merci d'avance

gen-hackman · Answer

grosse betire d avoir installé avast a la place d antivir

Bloupblop · Answer

Pourquoi ? Avast n'est pas bien ? J'ai pourtant lu sur ce forum qu'il était conseillé, ainsi qu'ici : https://www.commentcamarche.net/telecharger/securite/antivirus-antimalwares/
J'ai désinstallé Antivir car antivir guard refusait de s'activer. Apparemment c'est un problème récurrent sur les windows xp pro, mais toujours non résolu. Donc j'ai installé Avast à la place (qui lui fonctionne très bien).

J'ai mis à jour mes cartes graphique et son, et le problème reste entier. Je ne sais plus quoi faire...

gen-hackman · Answer

normal qu'il fonctionne bien il detecte rien ^^

Bloupblop · Answer

Je sais qu'Avast a la réputation de passoire, mais c'était dans le temps ça, ce n'est plus le cas maintenant.
Et puis, ça ne résout en rien mon problème.

J'ai fait des analyses antivirus avec antivir (avant de l'enlever), avast, anti-malware et spybot RAS. Donc je pense que mon virus a été éradiqué. Alors à quoi peut être dû ce ralentissement ?
Est-ce parce que mon pc a surchauffé avec le virus et affaibli mon dd ? ou bien est-ce à cause de killdisk ? ou bien ai-je faire une erreur dans les partitions ? d'où provient ce problème ?

Bloupblop · Answer

Ca y est j'ai trouvé ! En fait, c'était le lancement de Spybot au démarrage qui ralentissait énormément mon pc. Je l'ai donc supprimé du démarrage à partir de msconfig. Et maintenant mon pc est comme neuf !
En tout cas, un grand merci pour ton aide, je mets le sujet en mode "résolu" ;)

Bloupblop · Answer

Enfin le sujet peut être mis en mode résolu, car je ne sais pas comment faire ^^'.
Merci =D

gen-hackman · Answer

oui spybot demande beaucoup d'energie au systeme

Virus impossible d'ouvrir Antivir, ni autre

74 réponses

Discussions similaires

Newsletters