Vi rus TR/Downloader.Gen impossible à supprim [Résolu]

salut


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : http://www.avg.com/fr-fr/outils-telecharges
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Voici le résultat combofix :

ComboFix 11-06-11.01 - marla 11/06/2011 22:31:53.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.201 [GMT 2:00]
Lancé depuis: c:\documents and settings\marla\Mes documents\TÚlÚchargements\Melissa.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\marla\Application Data\19.tmp
c:\documents and settings\marla\Application Data\1A.tmp
c:\documents and settings\marla\Application Data\1B.tmp
c:\documents and settings\marla\Application Data\1C.tmp
c:\documents and settings\marla\Application Data\Jkfafj.exe
c:\program files\Search Settings
c:\windows\jodrive32.exe
c:\windows\system32\61.exe
c:\windows\system32\ac32.exe
c:\windows\system32\msconfig.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-11 au 2011-06-11 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\windows\system32\wbem\snmp
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\windows\system32\xircom
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\windows\srchasst
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\program files\microsoft frontpage
2011-06-11 20:34 . 2011-06-11 20:34 21893 ----a-w- c:\documents and settings\marla\Application Data\29.tmp
2011-06-11 20:34 . 2011-06-11 20:34 21893 ----a-w- c:\documents and settings\marla\Application Data\28.tmp
2011-06-11 20:34 . 2011-06-11 20:34 93184 ----a-w- c:\documents and settings\marla\Application Data\27.tmp
2011-06-11 20:34 . 2011-06-11 20:34 90112 ----a-w- C:\scn32.exe
2011-06-11 20:34 . 2011-06-11 20:34 47616 ----a-w- c:\documents and settings\marla\Application Data\26.tmp
2011-06-11 20:19 . 2011-06-11 20:19 46615 ------w- c:\windows\system32\crssc.exe
2011-06-11 20:13 . 2011-06-11 20:34 60779 ----a-w- c:\windows\d139.exe
2011-06-11 00:03 . 2011-06-11 00:03 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-10 23:58 . 2011-06-11 00:03 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 21:02 . 2011-06-10 21:02 112128 ------w- c:\documents and settings\NetworkService\Application Data\Jkfafj.exe
2011-06-09 18:01 . 2011-06-09 18:02 -------- d-----w- c:\documents and settings\marla\Local Settings\Application Data\Google
2011-06-09 18:00 . 2011-06-09 18:01 -------- d-----w- c:\program files\Google
2011-06-09 17:48 . 2011-06-11 20:40 -------- d-----w- c:\program files\Fichiers communs\Akamai
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-13 22:40 . 2011-04-13 22:40 4284416 ----a-w- c:\windows\system32\GPhotos.scr
2011-04-03 16:38 . 2011-01-22 18:04 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-29 . 030DC4D48CC2B894FEE2F390D8E66AD5 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2008-06-04 . 478B314098276163EDD8FCD47CC15BE5 . 102400 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe
.
[-] 2008-06-04 . D1EA0A366973ECA3E03F1ACBEFDA8F43 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
.
[-] 2008-04-28 . 1697B0EFD4E0FF0181F70CB73F04A518 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2008-06-15 . 6A5F236CD5A33FAA882592834056DCA0 . 2207872 . . [5.1.2600.5512] . . c:\windows\system32\ntkrnlpa.exe
.
[-] 2008-06-04 . 3EBD4417CA19355C7E095E915EF7C432 . 2331008 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe
.
c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

un peu de lecture

http://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

je pense surtout que c'est inutile étant donné que ton windows est une version pirate et que tu en es consciente donc , ayant les connaissances des risques auquels tu exposes ton ordi

Non je ne suis pas consciente, je me suis surtout fait cambriolée et qu'on m'a pris l'ancien ordi et que celui-ci est très très faible pour pouvoir supporter windows...

Je dois l'utiliser pour mes études et c'est pour ça.
Et tant que l'assurance ne marche pas, je ne récupérerais malheureusement pas mon ancien ordinateur...

On est pas là pour parler d'éthique -même si ça m'embête-, mais aider les gens qui ont un problème.

Si tu veux donner des leçons de moral à quelqu'un qui s'est fait cambriolé et n'a plus de quoi "vivre normalement", c'est moyen.

bon pffff.....................

poste ton rapport de combofix entier ! :(

Ben il n'y a riend e plus que ça :

ComboFix 11-06-11.01 - marla 11/06/2011 22:31:53.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.201 [GMT 2:00]
Lancé depuis: c:\documents and settings\marla\Mes documents\TÚlÚchargements\Melissa.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\marla\Application Data\19.tmp
c:\documents and settings\marla\Application Data\1A.tmp
c:\documents and settings\marla\Application Data\1B.tmp
c:\documents and settings\marla\Application Data\1C.tmp
c:\documents and settings\marla\Application Data\Jkfafj.exe
c:\program files\Search Settings
c:\windows\jodrive32.exe
c:\windows\system32\61.exe
c:\windows\system32\ac32.exe
c:\windows\system32\msconfig.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-11 au 2011-06-11 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\windows\system32\wbem\snmp
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\windows\system32\xircom
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\windows\srchasst
2011-06-11 20:40 . 2011-06-11 20:40 -------- d-----w- c:\program files\microsoft frontpage
2011-06-11 20:34 . 2011-06-11 20:34 21893 ----a-w- c:\documents and settings\marla\Application Data\29.tmp
2011-06-11 20:34 . 2011-06-11 20:34 21893 ----a-w- c:\documents and settings\marla\Application Data\28.tmp
2011-06-11 20:34 . 2011-06-11 20:34 93184 ----a-w- c:\documents and settings\marla\Application Data\27.tmp
2011-06-11 20:34 . 2011-06-11 20:34 90112 ----a-w- C:\scn32.exe
2011-06-11 20:34 . 2011-06-11 20:34 47616 ----a-w- c:\documents and settings\marla\Application Data\26.tmp
2011-06-11 20:19 . 2011-06-11 20:19 46615 ------w- c:\windows\system32\crssc.exe
2011-06-11 20:13 . 2011-06-11 20:34 60779 ----a-w- c:\windows\d139.exe
2011-06-11 00:03 . 2011-06-11 00:03 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-10 23:58 . 2011-06-11 00:03 -------- d-----w- c:\program files\ZHPDiag
2011-06-10 21:02 . 2011-06-10 21:02 112128 ------w- c:\documents and settings\NetworkService\Application Data\Jkfafj.exe
2011-06-09 18:01 . 2011-06-09 18:02 -------- d-----w- c:\documents and settings\marla\Local Settings\Application Data\Google
2011-06-09 18:00 . 2011-06-09 18:01 -------- d-----w- c:\program files\Google
2011-06-09 17:48 . 2011-06-11 20:40 -------- d-----w- c:\program files\Fichiers communs\Akamai
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-13 22:40 . 2011-04-13 22:40 4284416 ----a-w- c:\windows\system32\GPhotos.scr
2011-04-03 16:38 . 2011-01-22 18:04 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-29 . 030DC4D48CC2B894FEE2F390D8E66AD5 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2008-06-04 . 478B314098276163EDD8FCD47CC15BE5 . 102400 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe
.
[-] 2008-06-04 . D1EA0A366973ECA3E03F1ACBEFDA8F43 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
.
[-] 2008-04-28 . 1697B0EFD4E0FF0181F70CB73F04A518 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2008-06-15 . 6A5F236CD5A33FAA882592834056DCA0 . 2207872 . . [5.1.2600.5512] . . c:\windows\system32\ntkrnlpa.exe
.
[-] 2008-06-04 . 3EBD4417CA19355C7E095E915EF7C432 . 2331008 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe
.
c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LClock"="c:\windows\LSD\LClock\lclock.exe" [2004-09-19 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"ACU"="c:\program files\Atheros\ACU.exe" [2004-04-18 278528]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"name_me"="c:\documents and settings\marla\Application Data\29.tmp" [2011-06-11 21893]
"name_meexuii"="c:\documents and settings\marla\Application Data\28.tmp" [2011-06-11 21893]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
"Jkfafj"="c:\documents and settings\NetworkService\Application Data\Jkfafj.exe" [2011-06-10 112128]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"WinLSD_SP3"="c:\windows\LSD\end.cmd" [2008-06-17 9944]
"nltide_3"="advpack.dll" [2008-04-23 124928]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1035:TCP"= 1035:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [14/04/2008 01:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/01/2011 20:04 136360]
R2 Netmanm;Network Connections to Monitor;c:\windows\system32\crssc.exe [11/06/2011 22:19 46615]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [22/01/2011 19:09 272128]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [09/01/2011 14:52 310640]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - HELPSVC
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2011-01-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.winlsd.org/
uInternet Connection Wizard,ShellNext = hxxp://www.winlsd.org/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
TCP: DhcpNameServer = 212.27.40.241 212.27.40.242
FF - ProfilePath - c:\documents and settings\marla\Application Data\Mozilla\Firefox\Profiles\jmzgulko.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Jkfafj - c:\documents and settings\marla\Application Data\Jkfafj.exe
HKLM-Run-Microsoft Config Setup - c:\windows\jodrive32.exe
HKLM-Run-ac32 - c:\windows\system32\ac32.exe
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-11 22:40
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
name_me = c:\documents and settings\marla\Application Data\29.tmp?@?(?????|?"?|?"? ???????o??|??(?@?????????>???(?????@?"???>?????????x?(???>???????"?????\?"????|???|????P?????(????|@???????h?(?????h?(???????(??9>?|?"????????|??(?H?"?!??|??(?=??|??(?????A???x?>?L?????(
name_meexuii = c:\documents and settings\marla\Application Data\28.tmp?@?(?????|?"?|?"? ???????o??|??(?@?????????>???(?????@?"???>?????????x?(???>???????"?????\?"????|???|????P?????(????|@???????h?(?????h?(???????(??9>?|?"????????|??(?H?"?!??|??(?=??|??(?????A???x?>?L?????(
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\athgina.dll
c:\windows\system32\athcfg11.dll
.
- - - - - - - > 'lsass.exe'(776)
c:\windows\system32\scecli.dll
.
- - - - - - - > 'explorer.exe'(3168)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\LSD\LClock\LC.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\SOUNDMAN.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2011-06-11 22:44:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-11 20:44
.
Avant-CF: 30 384 488 448 octets libres
Après-CF: 30 530 207 744 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 544A724B6530490F2C6AD4348A0D0F06

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\documents and settings\marla\Application Data\*.tmp
C:\scn32.exe
c:\documents and settings\marla\Application Data\26.tmp
c:\documents and settings\NetworkService\Application Data\Jkfafj.exe
c:\windows\system32\crssc.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"iTunesHelper"=-
"SoundMan"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"name_me"=-
"name_meexuii"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Jkfafj"=-

Driver::
Netmanm

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

hello

t'es-t-il possible de supprimer ce fichier ? :

c:\windows\d139.exe

Oui je viens de le faire...
Rien qu'en le cherchant Avira s'est lancé... :/

En tout cas supprimé...

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Alors j'ai fait tout comme tu as dit mais je n'ai aucun pre-scan.txt qui est apparu... :/

sur le bureau dans tes icones non ? ^^

Bah, le machin pour le scan oui, mais je n'ai pas eu le rapport dont tu parles à mettre sur cijoint...
J'ai juste eu le scan qui s'est terminé, et a mis sur mon bureau en plus : "key" et "St_k" ...

t'as fait glisser une icone dessus ca a naitre la partie script ^^

bref

dans ton disque c:\ tu dois avoir pre_scan.txt poste-le comme demandé

il a pas du pouvoir finir son scan

tu vois qu'une version modifiée ca craint :

¤¤¤¤¤¤¤¤¤¤ Verification des Fichiers

C:\WINDOWS\System32\blastcln.exe........absent !!!!
C:\WINDOWS\System32\drwatson.exe........absent !!!!
C:\WINDOWS\System32\drwtsn32.exe........absent !!!!
C:\WINDOWS\System32\freecell.exe........absent !!!!
C:\WINDOWS\System32\help.exe........absent !!!!
C:\WINDOWS\System32\lnkstub.exe........absent !!!!
C:\WINDOWS\System32\migpwd.exe........absent !!!!
C:\WINDOWS\System32\mnmsrvc.exe........absent !!!!
C:\WINDOWS\System32\mshearts.exe........absent !!!!
C:\WINDOWS\System32\rtcshare.exe........absent !!!!
C:\WINDOWS\System32\sndrec32.exe........absent !!!!
C:\WINDOWS\System32\sol.exe........absent !!!!
C:\WINDOWS\System32\spider.exe........absent !!!!
C:\WINDOWS\System32\spnpinst.exe........absent !!!!
C:\WINDOWS\System32\systeminfo.exe........absent !!!!
C:\WINDOWS\System32\tourstart.exe........absent !!!!
C:\WINDOWS\System32\usrmlnka.exe........absent !!!!
C:\WINDOWS\System32\usrprbda.exe........absent !!!!
C:\WINDOWS\System32\usrshuta.exe........absent !!!!
C:\WINDOWS\System32\winchat.exe........absent !!!!
C:\WINDOWS\System32\winmine.exe........absent !!!!
C:\WINDOWS\System32\winmsd.exe........absent !!!!
C:\WINDOWS\System32\write.exe........absent !!!!
C:\WINDOWS\System32\wscntfy.exe........absent !!!!

=======================================

selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\Documents and Settings\All Users\Application Data\whlb32g.dll

folder::
C:\Program Files\Fichiers communs\Spigot
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Bon ben un autre problème vient :
Au bout d'un moment de connexion sur le net, je ne peux plus naviguer et quand je vais dans mes connexions réseaux il me dit que j'ai laissé un programme s'en occuper alors que pas du tout, et du coup suis obligée de redémarrer pour avoir le net :/

telecharge ici : Load_KidoKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage

à la fin Kido.txt se mettra sur ton bureau

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.