comment supprimer antimalware doctor?Fermé

Question

Bonjour, 
Mon ordinateur est infecté par le virus antimalware doctor. Je ne sais pas comment m'en débarasser. J'ai lu quelques témoignages trouvés sur Internet mais aucune solution n'a fonctionné. Pouvez-vous m'aider?

Utilisateur anonyme · Answer

bonjour,
* Télécharge ZHPDiag sur ton bureau :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou : 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Danny74 · Answer

bonjour/bonsoir

Je m'incruste dans le topic..., (je vois qu'on est beaucoup a avoir se problème et que sa se règle au cas par cas)

J'ais fais se que tu as dit juste au-dessus, voila le lien: 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijg4kNq6Y.txt 

merci.

navge · Answer

Merci d'avoir répondu si vite. Le probleme c'est que quand je dépose le rapport de ZHP sur cijoint ou sur toofiles, mon ordinateur dit que la connexion est impossible. Que puis-je faire?

Utilisateur anonyme · Answer

ouvre un document Word, copie et colle le rapport entièrement dedans, enregqitre le document sur ton bureau, puis hébérge le sur cijoint   :-)

navge · Answer

Merci! Mes connaissances en informatique sont limitées, voici le lien

http://www.cijoint.fr/cjlink.php?file=cj201010/cij36tttcP.odt

Utilisateur anonyme · Answer

ce n'est pas au bon format !

il faut l'enregistrer sous format  .txt  :-)

navge · Answer

Je n'ai pas word mais works ou open office; y-a-t-il une autre solution?

navge · Answer

Est-ce que ça marche avec ça:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijJLyBjjp.doc

Utilisateur anonyme · Answer

super  :-)

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

O4 - HKCU\..\Run: [formtell70700loadraw.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\formtell70700loadraw.exe 
O4 - HKUS\S-1-5-21-296908016-1113019820-3104783428-1006\..\Run: [formtell70700loadraw.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\formtell70700loadraw.exe 
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
[HKCU\Software\Antimalware Doctor Inc]   
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) --  (.not file.)
 


---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

navge · Answer

Voici le dernier rapport:

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-25-10-2010-19-24-50.txt
Run by ARTHUR at 25/10/2010 19:24:50
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Antimalware Doctor Inc  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [formtell70700loadraw.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\formtell70700loadraw.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-296908016-1113019820-3104783428-1006\..\Run: [formtell70700loadraw.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\formtell70700loadraw.exe  => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Valeur absente

========== Fichier(s) ==========
c:\documents and settings\arthur\application data\42c876d388bc97c42d28daf1eba24182\formtell70700loadraw.exe  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor  => Logiciel déjà supprimé


========== Récapitulatif ==========
1 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Fichier(s)
1 : Logiciel(s)


End of the scan

navge · Answer

Est-ce la fin de la manipulation ou dois-je faire qque chose?

Utilisateur anonyme · Answer

est ce que tu as encore antimalware doctor sur ton pc ?

repasse un autre zhpdiag, 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://www.cijoint.fr/ 
ou : 
http://ww38.toofiles.com/fr/documents-upload.html

navge · Answer

Antimalware doctor n'apparaît plus lors de la phase de démarrage, ni ds la panneau de configuration, mais mon ordi est d'une lenteur extreme! Voici le dernier rapport:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij6wTUizX.doc

Utilisateur anonyme · Answer

bonjour,
on va lancer les outils qui vont bien pour améliorer les choses  :-)

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message

navge · Answer

Bonjour,
Voici les dernieres nouvelles:
ComboFix 10-10-25.03 - ARTHUR 26/10/2010  13:20:22.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.702 [GMT 2:00]
Lancé depuis: c:\documents and settings\ARTHUR\Bureau\ComboFix.exe
AV: McAfee VirusScan *On-access scanning disabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: Personal Firewall Plus *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182
c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\enemies-names.txt
c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\local.ini
c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\lsrslt.ini
c:\documents and settings\ARTHUR\Application Data\inst.exe
c:\windows\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe
c:\windows\system32\driVERs\urqxuou.sys

c:\windows\system32\drivers\urqxuou.sys . . . est infecté!! . . . Impossible de trouver un substitut valide.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_urqxuou
-------\Service_urqxuou


(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-26 au 2010-10-26  ))))))))))))))))))))))))))))))))))))
.

2010-10-25 16:12 . 2010-10-25 18:57	--------	d-----w-	c:\program files\ZHPDiag
2010-10-25 15:57 . 2010-10-25 15:57	--------	d-----w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\Threat Expert
2010-10-24 16:34 . 2010-10-26 11:08	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-10-24 15:50 . 2010-10-24 15:50	--------	d-----w-	c:\program files	rend micro
2010-10-24 15:49 . 2010-10-24 15:49	--------	d-----w-	C:sit
2010-10-24 14:19 . 2010-10-24 14:19	--------	d-----w-	c:\documents and settings\ARTHUR\Application Data\IObit
2010-10-24 14:19 . 2010-10-24 14:19	--------	d-----w-	c:\program files\IObit
2010-10-24 13:03 . 2010-10-24 13:04	--------	d-----w-	c:\documents and settings\Administrateur
2010-10-24 00:04 . 2010-10-24 00:04	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-10-24 00:04 . 2010-10-24 00:04	--------	d-----w-	c:\program files\CCleaner
2010-10-23 22:00 . 2010-10-23 22:00	--------	d-----w-	c:\documents and settings\ARTHUR\Application Data\Malwarebytes
2010-10-23 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-23 22:00 . 2010-10-23 22:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-23 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-23 22:00 . 2010-10-23 22:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-23 17:04 . 2010-10-25 16:05	--------	d-----w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\TopEstimation
2010-10-23 17:04 . 2010-10-23 17:04	193	----a-w-	c:\documents and settings\ARTHUR\Application Data\44919.bat
2010-10-15 07:30 . 2010-09-18 06:53	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2010-10-03 15:12 . 2010-10-03 15:12	--------	d-----w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\PCHealth

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:23 . 2005-11-29 17:39	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2005-11-29 17:39	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2005-11-29 17:39	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2005-11-29 17:39	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:50 . 2005-11-29 17:39	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2005-11-29 17:39	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2005-11-29 17:39	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:51 . 2005-11-29 17:39	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2005-11-29 17:39	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2005-11-29 17:39	119808	----a-w-	c:\windows\system32	2embed.dll
2010-08-27 05:58 . 2005-11-29 17:39	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2005-11-29 17:39	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:12 . 2005-11-29 17:39	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2005-11-29 17:39	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2005-11-29 17:39	590848	----a-w-	c:\windows\system32pcrt4.dll
2003-03-21 11:45 . 2010-05-25 14:44	250544	----a-w-	c:\program files\Fichiers communs\keyhelp.ocx
2009-03-21 14:07	323030	--sha-r-	c:\windows\system32\eerai.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AAC03D7E-BCEB-4efa-96F1-EFCAAED509FF}]
2010-10-23 17:04	157696	----a-w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\TopEstimation	opestimatiie.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 1937408]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-23 68856]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-09-24 1786168]
"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-09-28 2407632]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"MsnMsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2010-04-16 3872080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="c:\program files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-21 114688]
"VSOCheckTask"="c:\progra~1\mcafee.com\vso\mcmnhdlr.exe" [2005-03-02 143360]
"MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]
"MCUpdateExe"="c:\progra~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 212992]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
"VirusScan Online"="c:\progra~1\mcafee.com\vso\mcvsshld.exe" [2005-03-18 196608]
"MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2005-05-16 950272]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 132760]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-03-22 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"nwiz"="nwiz.exe" [2005-04-01 1495040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ARTHUR\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2009-1-1 925696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPopUpsOnBoot"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7147:TCP"= 7147:TCP:nlakcqzn

R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [29/11/2005 12:01 43512]
R0 VVBackd5;VVBackd5;c:\windows\system32\drivers\VVBackd5.sys [11/09/2006 10:58 179482]
R2 FBAPI;FBAPI;c:\windows\system32\drivers\FBAPI.sys [29/11/2005 12:01 5088]
R3 3xHybrid;Pinnacle PCTV 310i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [29/11/2005 14:06 827008]
R3 NaiFiltr;NaiFiltr;c:\windows\system32\drivers\NaiFiltr.sys [29/11/2005 12:01 23888]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [01/01/2009 18:47 402432]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [03/02/2010 17:11 135664]
S2 vgpalxdx;Image Universal;c:\windows\system32\svchost.exe -k netsvcs [29/11/2005 19:39 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
vgpalxdx
.
Contenu du dossier 'Tâches planifiées'

2010-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:11]

2010-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:11]

2010-10-26 c:\windows\Tasks\Recherche de virus de McAfee.com - Mon ordinateur (1) (EVA-ARTHUR).job
- c:\program files\mcafee.com\vso\mcmnhdlr.exe [2005-11-29 18:19]

2010-10-26 c:\windows\Tasks\Recherche de virus de McAfee.com - Mon ordinateur (EVA-ARTHUR).job
- c:\program files\mcafee.com\vso\mcmnhdlr.exe [2005-11-29 18:19]

2010-10-15 c:\windows\Tasks\WebReg psc 1500 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2005-05-11 14:45]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: { - c:\program files\Messenger\msmsgs.exe
DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-farstone - (no file)
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-26 13:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vgpalxdx]
"ServiceDll"="c:\windows\system32\eerai.dll"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\progra~1\mcafee.com\agent\mctskshd.exe
c:\progra~1\mcafee.com\vso\mcvsrte.exe
c:\progra~1\McAfee.com\PERSON~1\MPFSERVICE.exe
c:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32
vsvc32.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\progra~1\mcafee.com\vso\mcshield.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\RUNDLL32.EXE
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\progra~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\program files\OpenOffice.org 2.3\program\soffice.exe
c:\progra~1\Wanadoo\GestionnaireInternet.exe
c:\program files\OpenOffice.org 2.3\program\soffice.BIN
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\progra~1\Wanadoo\ComComp.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\progra~1\Wanadoo\Inactivity.exe
c:\progra~1\Wanadoo\PollingModule.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
.
**************************************************************************
.
Heure de fin: 2010-10-26  13:40:33 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-26 11:40

Avant-CF: 189 600 280 576 octets libres
Après-CF: 189 541 511 168 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 366EBB6888C0020F76EDC2F3CBDCF7BD

Utilisateur anonyme · Answer

Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 


. Maintenant, lance The Avenger en cliquant sur son icône du bureau

. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Drivers to disable: 
urqxuou 
Drivers to delete: 
urqxuou 
Files to delete: 
c:\windows\system32\drivers\urqxuou.sys 
 

. Colle ce texte (Ctrl+V) dans le cadre :Input script here 

. Appuie sur Execute 

. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html




Rends toi sur ce site : 
https://www.virustotal.com/gui/ 
clique sur parcourir et cherche ce fichier : 

c:\windows\system32\eerai.dll


clique sur send file 
un rappoort va s-élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain mesage. 
Merci

navge · Answer

Bonjour, voici les dernières nouvelles,
ComboFix 10-10-25.03 - ARTHUR 26/10/2010  13:20:22.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.702 [GMT 2:00]
Lancé depuis: c:\documents and settings\ARTHUR\Bureau\ComboFix.exe
AV: McAfee VirusScan *On-access scanning disabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: Personal Firewall Plus *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182
c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\enemies-names.txt
c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\local.ini
c:\documents and settings\ARTHUR\Application Data\42C876D388BC97C42D28DAF1EBA24182\lsrslt.ini
c:\documents and settings\ARTHUR\Application Data\inst.exe
c:\windows\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe
c:\windows\system32\driVERs\urqxuou.sys

c:\windows\system32\drivers\urqxuou.sys . . . est infecté!! . . . Impossible de trouver un substitut valide.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_urqxuou
-------\Service_urqxuou


(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-26 au 2010-10-26  ))))))))))))))))))))))))))))))))))))
.

2010-10-25 16:12 . 2010-10-25 18:57	--------	d-----w-	c:\program files\ZHPDiag
2010-10-25 15:57 . 2010-10-25 15:57	--------	d-----w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\Threat Expert
2010-10-24 16:34 . 2010-10-26 11:08	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-10-24 15:50 . 2010-10-24 15:50	--------	d-----w-	c:\program files	rend micro
2010-10-24 15:49 . 2010-10-24 15:49	--------	d-----w-	C:sit
2010-10-24 14:19 . 2010-10-24 14:19	--------	d-----w-	c:\documents and settings\ARTHUR\Application Data\IObit
2010-10-24 14:19 . 2010-10-24 14:19	--------	d-----w-	c:\program files\IObit
2010-10-24 13:03 . 2010-10-24 13:04	--------	d-----w-	c:\documents and settings\Administrateur
2010-10-24 00:04 . 2010-10-24 00:04	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-10-24 00:04 . 2010-10-24 00:04	--------	d-----w-	c:\program files\CCleaner
2010-10-23 22:00 . 2010-10-23 22:00	--------	d-----w-	c:\documents and settings\ARTHUR\Application Data\Malwarebytes
2010-10-23 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-23 22:00 . 2010-10-23 22:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-23 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-23 22:00 . 2010-10-23 22:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-23 17:04 . 2010-10-25 16:05	--------	d-----w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\TopEstimation
2010-10-23 17:04 . 2010-10-23 17:04	193	----a-w-	c:\documents and settings\ARTHUR\Application Data\44919.bat
2010-10-15 07:30 . 2010-09-18 06:53	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2010-10-03 15:12 . 2010-10-03 15:12	--------	d-----w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\PCHealth

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:23 . 2005-11-29 17:39	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2005-11-29 17:39	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2005-11-29 17:39	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2005-11-29 17:39	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:50 . 2005-11-29 17:39	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2005-11-29 17:39	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2005-11-29 17:39	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:51 . 2005-11-29 17:39	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2005-11-29 17:39	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2005-11-29 17:39	119808	----a-w-	c:\windows\system32	2embed.dll
2010-08-27 05:58 . 2005-11-29 17:39	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2005-11-29 17:39	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:12 . 2005-11-29 17:39	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2005-11-29 17:39	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2005-11-29 17:39	590848	----a-w-	c:\windows\system32pcrt4.dll
2003-03-21 11:45 . 2010-05-25 14:44	250544	----a-w-	c:\program files\Fichiers communs\keyhelp.ocx
2009-03-21 14:07	323030	--sha-r-	c:\windows\system32\eerai.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AAC03D7E-BCEB-4efa-96F1-EFCAAED509FF}]
2010-10-23 17:04	157696	----a-w-	c:\documents and settings\ARTHUR\Local Settings\Application Data\TopEstimation	opestimatiie.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 1937408]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-23 68856]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-09-24 1786168]
"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-09-28 2407632]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"MsnMsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2010-04-16 3872080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="c:\program files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-21 114688]
"VSOCheckTask"="c:\progra~1\mcafee.com\vso\mcmnhdlr.exe" [2005-03-02 143360]
"MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]
"MCUpdateExe"="c:\progra~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 212992]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
"VirusScan Online"="c:\progra~1\mcafee.com\vso\mcvsshld.exe" [2005-03-18 196608]
"MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2005-05-16 950272]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 132760]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-03-22 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"nwiz"="nwiz.exe" [2005-04-01 1495040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ARTHUR\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2009-1-1 925696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPopUpsOnBoot"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7147:TCP"= 7147:TCP:nlakcqzn

R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [29/11/2005 12:01 43512]
R0 VVBackd5;VVBackd5;c:\windows\system32\drivers\VVBackd5.sys [11/09/2006 10:58 179482]
R2 FBAPI;FBAPI;c:\windows\system32\drivers\FBAPI.sys [29/11/2005 12:01 5088]
R3 3xHybrid;Pinnacle PCTV 310i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [29/11/2005 14:06 827008]
R3 NaiFiltr;NaiFiltr;c:\windows\system32\drivers\NaiFiltr.sys [29/11/2005 12:01 23888]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [01/01/2009 18:47 402432]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [03/02/2010 17:11 135664]
S2 vgpalxdx;Image Universal;c:\windows\system32\svchost.exe -k netsvcs [29/11/2005 19:39 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
vgpalxdx
.
Contenu du dossier 'Tâches planifiées'

2010-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:11]

2010-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:11]

2010-10-26 c:\windows\Tasks\Recherche de virus de McAfee.com - Mon ordinateur (1) (EVA-ARTHUR).job
- c:\program files\mcafee.com\vso\mcmnhdlr.exe [2005-11-29 18:19]

2010-10-26 c:\windows\Tasks\Recherche de virus de McAfee.com - Mon ordinateur (EVA-ARTHUR).job
- c:\program files\mcafee.com\vso\mcmnhdlr.exe [2005-11-29 18:19]

2010-10-15 c:\windows\Tasks\WebReg psc 1500 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2005-05-11 14:45]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: { - c:\program files\Messenger\msmsgs.exe
DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-farstone - (no file)
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-26 13:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vgpalxdx]
"ServiceDll"="c:\windows\system32\eerai.dll"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\progra~1\mcafee.com\agent\mctskshd.exe
c:\progra~1\mcafee.com\vso\mcvsrte.exe
c:\progra~1\McAfee.com\PERSON~1\MPFSERVICE.exe
c:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32
vsvc32.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\progra~1\mcafee.com\vso\mcshield.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\RUNDLL32.EXE
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\progra~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\program files\OpenOffice.org 2.3\program\soffice.exe
c:\progra~1\Wanadoo\GestionnaireInternet.exe
c:\program files\OpenOffice.org 2.3\program\soffice.BIN
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\progra~1\Wanadoo\ComComp.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\progra~1\Wanadoo\Inactivity.exe
c:\progra~1\Wanadoo\PollingModule.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
.
**************************************************************************
.
Heure de fin: 2010-10-26  13:40:33 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-26 11:40

Avant-CF: 189 600 280 576 octets libres
Après-CF: 189 541 511 168 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 366EBB6888C0020F76EDC2F3CBDCF7BD

navge · Answer

Je viens d'avoir un message d'un site me disant que mon ordinateur est infecté! Bizarre!

navge · Answer

Je ne sais pas si c'est bien ça:
http://www.virustotal.com/file-scan/report.html?id=d7a0438805f5165c47b0b3eae87a1573d0dfb633a1ae36da839a82c96fb1546f-1288086681

Utilisateur anonyme · Answer

ok pou virus totale  :-)  

Télécharge The Avenger par Swandog46 sur ton Bureau:   

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/   

Click sur Avenger.zip pour ouvrir le fichier   
Extraire avenger.exe sur votre bureau   


. Maintenant, lance The Avenger en cliquant sur son icône du bureau   

. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):   

Drivers to disable:   
urqxuou
vgpalxdx  
Drivers to delete:   
urqxuou
vgpalxdx   
Files to delete:   
c:\windows\system32\drivers\urqxuou.sys   
c:\windows\system32\eerai.dll   


. Colle ce texte (Ctrl+V) dans le cadre :Input script here   

. Appuie sur Execute   

. Le pc va redémarrer   
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger   
Tuto :   
http://www.oxygenepc.com/forum/the-avenger-t594.html   

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

navge · Answer

C'est afit, je suis allée dans C:\ avenger 
 mais le dossier est vide. C'est mauvais signe?

Utilisateur anonyme · Answer

as tu bien télécharger The Avenger ?
utilise le tuto que je t'ai envoyé  :-)

navge · Answer

Voilà ce que j'ai trouvé:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "urqxuou"
Disablement of driver "urqxuou" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "vgpalxdx"
Disablement of driver "vgpalxdx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\urqxuou" not found!
Deletion of driver "urqxuou" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\vgpalxdx" not found!
Deletion of driver "vgpalxdx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\urqxuou.sys" not found!
Deletion of file "c:\windows\system32\drivers\urqxuou.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\eerai.dll" not found!
Deletion of file "c:\windows\system32\eerai.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

navge · Answer

Mon ordinateur se connecte plus facilement et semble plus rapide: est-ce que ça veut dire que c'est en bonne voie?

Utilisateur anonyme · Answer

on oeuvre pour qu'il tourne mieux  :-)

repasse un autre zhpdiag :
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://www.cijoint.fr/ 
ou : 
http://ww38.toofiles.com/fr/documents-upload.html

navge · Answer

Voilà:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijvWB2vm0.doc

Utilisateur anonyme · Answer

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe 

---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html





Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.	

Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

navge · Answer

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26-10-2010-20-02-59.txt
Run by ARTHUR at 26/10/2010 20:02:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès


========== Récapitulatif ==========
1 : Valeur(s) du Registre


End of the scan

Je fais la suite!

Utilisateur anonyme · Answer

ok, la suite avec javara  :-)

navge · Answer

Et voiciJavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Oct 26 20:22:13 2010

Found and removed: C:\Program Files\Java\jre1.5.0_06

Found and removed: C:\Documents and Settings\ARTHUR\Application Data\Sun\Java\jre1.6.0_02

Found and removed: Software\JavaSoft\Java2D\1.5.0_06

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\JavaPlugin.150_06

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Classes\JavaPlugin.160_02

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_02

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_02

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610002

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160020}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06

Found and removed: Software\Classes\JavaPlugin.160_02

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.5.0_06\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_02\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_02\bin\

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_02

Found and removed: Software\JavaSoft\Java2D\1.6.0_02

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_02

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610002

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.



 la suite:

Utilisateur anonyme · Answer

suite et fin je dirai  :-)

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner


*	pour supprimer les outils de désinfection
:
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information 

*	fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

navge · Answer

Bonjour, voici le rapport:Rapport DelFix v6.0 - 27/10/2010 à 09:18,09
Mis à jour le 22/10/10 à 13h30 par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Navigateur : Internet Explorer  [Navigateur par défaut]
Processeur :               Intel(R) Pentium(R) 4 CPU 3.20GHz
Mémoire vive totale : 0,99 Go
Nom d'utilisateur : ARTHUR - EVA (Administrateur)
Exécuté depuis : C:\Documents and Settings\ARTHUR\Bureau\DelFix.exe


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\RSIT
Supprimé : C:\Avenger
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files	rend micro
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:kill.log
Supprimé : C:\avenger.txt
Supprimé : C:\cleanup.bat
Supprimé : C:\cleanup.exe
Supprimé : C:\zip.exe
Supprimé : C:\ZHPExportRegistry-25-10-2010-19-24-50.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\avenger.zip
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\UsbFix V3.029.lnk
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\MBRCheck_10.25.10_20.57.07.txt
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\JavaRa.zip
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\ZHPDiag.exe
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\ZHPDiag3
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\ZHPDiag3.doc
Supprimé : C:\Documents and Settings\ARTHUR\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## EOF - "C:\DelFixSuppr.txt" - [2502 octets] ##########

Utilisateur anonyme · Answer

ok, passe à la suite du poste  :-)

navge · Answer

Bonjour, après un scan par avast il y a apparemment un fichier infecté; avast demande quelle action je veux entreprendre. Que dois je faire?

navge · Answer

Bonjour, j'ai fait un scan avec avast mais apparemment il y a un fichier infecté; avast demande quelle action je dois entreprendre. Que dois-je faire?

Utilisateur anonyme · Answer

copie et colle le nom du fichier et son chemin d'accès sur ton prochain message 
 :-)

navge · Answer

c'est C:\Documents and Settings \ARTHUR\Local Settings\Application Data\TopEstimation\mci.dll
sévérité haute
menace: Win32: StartPage-833 [Trj]
C'est tout ce que j'ai

Utilisateur anonyme · Answer

ok, on va voir ce que c'est,

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché 
-> valide le motif ( "appliquer" puis "ok" ). 
( tu remettras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 

Rends toi sur ce site : 
https://www.virustotal.com/gui/ 
clique sur parcourir et cherche ce fichier : 

C:\Documents and Settings \ARTHUR\Local Settings\Application Data\TopEstimation\mci.dll 


clique sur send file 
un rappoort va s-élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain mesage. 
Merci

navge · Answer

Bonjour, je ne trouve pas le fichier mentionné plus haut amis j'ai fait faire une recherche par virus total des fichiers se rapprochant et voici le résultat:

File name: topestimatiie.dll
http://www.virustotal.com/file-scan/report.html?id=3ab101fe8b44b5437da534ae8d9c0e99b7c772a34c35dac5d207a082b54e65fe-1288258312

Utilisateur anonyme · Answer

bonjour,
relance ton antovirus, lance une mise à jour suivie d'un scan complet de ton pc, on verra ce qu'il dit  :-)

Comment supprimer antimalware doctor?

40 réponses

Discussions similaires

Newsletters