Posez votre question Signaler

Cheval de troie - blocage de mon ordinateur

jane - Dernière réponse le 22 juil. 2012 à 18:55
Bonjour,
Je possède actuellement un HP Windows XP.
Suite à la détection d'un cheval de troie (TR/small.FI je crois de mémoire) fin Mai, mon ordinateur fonctionne de moins en moins bien.
Actuellement, je ne peux plus accéder à ma barre de tâche, je n'ai plus accès à mes dossiers et mes disques durs. Il semblerait que seuls les périphériques (clé USB par exemple) fonctionnent encore. Ceci dit, il m'est impossible d'en ouvrir les contenus (par exemple, lorsque j'essaie d'ouvrir un .doc qui apparaît sur ma clé USB, l'ordinateur charge mais rien ne se passe).
Je ne peux plus non plus faire "ctrl+alt+supp" > rien ne se passe.
Je ne peux plus ouvrir aucun logiciel et donc mon antivirus non plus.
Je ne peux plus éteindre mon ordinateur (ni par 2x "ctrl+alt+supp, ni par la barre de tâche puisqu'elle apparaît mais ne réagit pas).
Bref, il semblerait que je n'ai plus la main sur mon ordinateur.
Puis-je encore faire quelque chose ou mon ordinateur est-il tout simplement irréparable ?
Merci d'avance pour votre aide,
Je pense que le problème vient de ce cheval de troie/virus car tout fonctionnait avant cela.
Bonne soirée,
Lire la suite 
Réponse
-1
moins plus
Essaye de démarrer en mode sans échec avec prise en charge réseau, et lance tout tes programmes anti-virus et anti-spyware que tu as sous la main, fais leurs faire des analyse complète, et regarde ce qu'ils sortent. Si tu as besoin de logiciel anti-spyware, dit le moi, je te ferais une liste.
jane- 9 juil. 2012 à 23:29
Bonjour,
J'ai le logiciel Antivir, CCleaner et Spybot uniquement.
Y'a-t'il d'autres logiciels que je devrais utiliser ?
Je vais lancer tout ça en mode sans échec et je reviens.
Merci.
Répondre
z000026 88Messages postés vendredi 1 avril 2011Date d'inscription 3 février 2013 Dernière intervention - 9 juil. 2012 à 23:34
Spybot est une vrai centrale nucléaire, et en plus inutile, pour ce qui est de CCleaner, il ne t'aidera pas sur ce coup...

Essaye sa: http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

Et sa: http://www.pctools.com/spyware-doctor/download/?src=lp_sd

Et lance les.
Répondre
yoann090 9302Messages postés mercredi 12 août 2009Date d'inscription Contributeur sécuritéStatut 1 juin 2015 Dernière intervention - 9 juil. 2012 à 23:36
@z000026 Spyware doctor, n'est pas plus utile que Spybot ^^
(cf : http://forum.malekal.com/faux-blogs-securite-spyhunter-spyware-doctor-t12847.html )
Répondre
Ajouter un commentaire
Réponse
+2
moins plus
Bonjour, Jane,

CCleaner n'enlève pas les infections, c'est juste un utilitaire de nettoyage ;). Spybot est dépassé, je te le ferai désinstaller par la suite.
On va dans un premier lieu utiliser MalwareByte :

Fais le en mode sans échec, si ça ne suffit pas (ce qui risque d'être le cas), on verra pour utiliser des logiciels plus puissant.

En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes Anti-Malware.

Il se peut que le scan soit long, mais il faut le laisser se terminer.

▶ Télécharge Malwarebytes' Anti-Malware sur ton bureau.

▶ Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

▶ Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où cela n'aurait pas été le cas.

▶ Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
▶ Sélectionne Exécuter un examen complet.
▶ Sélectionne Tous les disques.
▶ Clique sur Rechercher.

▶ Si des menaces ont été détectées, clique sur Afficher les résultats.
▶ Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est le cas accepte.

▶ Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.
▶ Ouvre le dernier en date, et copie-colle le sur le forum.
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour Yoann,
Voici le rapport :

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.09.14

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 6.0.2900.5512
MAUREL :: PC835617709412 [administrateur]

Protection: Désactivé

09/07/2012 23:55:19
mbam-log-2012-07-09 (23-55-19).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 287116
Temps écoulé: 45 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 5
HKCR\Typelib\{7EC6D094-9F40-48CE-B833-AEA09BFFBBF8} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{A9B3EE4C-20CF-4722-BC3E-3347F6EE1910} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Documents and Settings\MAUREL\Local Settings\Application Data\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\n. -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Mauvais: (\\.\globalroot\systemroot\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\n.) Bon: (wbemess.dll) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 1
C:\WINDOWS\system32\acespy (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 19
C:\Documents and Settings\MAUREL\Local Settings\Application Data\bwjguizb.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\MAUREL\Local Settings\Application Data\Temp\{D6F76A89-AD5D-41FE-8556-4F2803B95E7D} (Trojan.P2P.Worm) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\MAUREL\Local Settings\Application Data\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\n (Rootkit.0Access) -> Suppression au redémarrage.
C:\Documents and Settings\MAUREL\Local Settings\Temp\i4b5871739315193616355.tmp (Exploit.Drop.3P) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\MAUREL\Local Settings\Temp\i4b9126778570994617587.tmp (Exploit.Drop.3P) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\MAUREL\Temporary Internet Files\Content.IE5\QRATUVEX\soft4[1].exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\MAUREL\Temporary Internet Files\Content.IE5\V611SDH0\soft3[1].exe (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\n (Rootkit.0Access) -> Suppression au redémarrage.
C:\WINDOWS\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\din.ip (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\dpqaqlqx.bin (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\jpewocmz.ini (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\stfv.bin (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\sznf.ascii (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\absolute key logger.lnk (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\acontidialer.txt (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\default.htm (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\acespy\systune.exe (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\acespy\__acelog.ndx (Fake.Dropped.Malware) -> Mis en quarantaine et supprimé avec succès.

(fin)

Effectivement, il semble qu'il y avait pas mal de choses détéctées...
Que faire maintenant ?
Merci (l'ordinateur commence déjà à aller mieux :-) )
Ajouter un commentaire
Réponse
+0
moins plus
Refais un scan mais là, il en a déjà enlever un paquet:

"Fichier(s) détecté(s): 19 "
Ajouter un commentaire
Réponse
+2
moins plus
hello


C:\Documents and Settings\MAUREL\Local Settings\Application Data\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\n (Rootkit.0Access) -> Suppression au redémarrage.
C:\Documents and Settings\MAUREL\Temporary Internet Files\Content.IE5\V611SDH0\soft3[1].exe (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\n (Rootkit.0Access) -> Suppression au redémarrage.
C:\WINDOWS\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.


Rootkit.0Access c'est pas cool ca

je t'envoie un helper
Ajouter un commentaire
Réponse
+2
moins plus
@Salut moment de grace :), merci d'avoir prévenu quelqu'un. Vu les symptomes et la présence de small.fi, il y avait de forte chance qu'il y ait 0Access. J'attendais la confirmation de MBAM pour prévenir un helpeur.

@jane Comme te l'a dit moment de grace, 0Access est une méchante infection, les utilitaires qui seront utilisés ne sont pas des jouets donc dès qu'un helpeur vient s'occuper de son cas, n' écoute plus que SES directives.
Ajouter un commentaire
Réponse
+2
moins plus
salut le helper est là ^^

======

bien que Malwarebytes ait déjà fait la moitié du boulot :


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================


▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : http://www.avg.com/fr-fr/outils-telecharges
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur


Ajouter un commentaire
Réponse
+0
moins plus
Bonjour G3N,

Voici le rapport de Combofix :

ComboFix 12-07-10.01 - MAUREL 10/07/2012 19:42:33.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1387 [GMT 2:00]
Lancé depuis: c:\documents and settings\MAUREL\Bureau\cequetuveux.exe
AV: Avira AntiVir PersonalEdition *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\MAUREL\WINDOWS
c:\windows\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\@
c:\windows\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\U\00000001.@
c:\windows\Installer\{e7db7ffc-6e02-ae52-037e-30d9cc195a86}\U\80000000.@
c:\windows\system32\AutoRun.inf
c:\windows\system32\dumphive.exe
c:\windows\system32\jjtctpya.ini
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-10 au 2012-07-10 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-09 21:53 . 2012-07-09 21:53 -------- d-----w- c:\documents and settings\MAUREL\Application Data\Malwarebytes
2012-07-09 21:53 . 2012-07-09 21:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2012-07-09 21:52 . 2012-07-09 21:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-09 21:52 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-05 13:58 . 2012-01-15 10:16 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2009-04-02 11:47 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-04-15 10:33 2515552 ----a-w- c:\program files\Vuze_Remote\tbVuze.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\tbVuze.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 1460560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-15 7561216]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-30 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-03-13 149280]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:250484b5c
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
2006-02-22 06:03 40960 ----a-w- c:\program files\HPQ\Default Settings\Cpqset.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
2006-04-18 11:29 61952 ----a-w- c:\windows\system32\CHDAudPropShortcut.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-03-11 19:34 49152 ----a-w- c:\program files\Hp\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
2006-02-14 16:49 454656 ----a-w- c:\program files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-04-15 18:26 7561216 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-04-15 18:26 86016 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-04-15 18:26 1519616 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
2006-03-07 11:38 131072 ----a-w- c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QPService]
2006-04-11 19:54 102400 ----a-w- c:\program files\Hp\QuickPlay\QPService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2007-06-29 04:24 286720 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RecGuard]
2005-10-11 08:23 1187840 ----a-w- c:\windows\SMINST\Recguard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 19:03 36975 ----a-w- c:\program files\Java\jre1.5.0_06\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVPService]
2006-04-03 11:34 135168 ------w- c:\program files\Hp\TVPlay\TVPService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [22/11/2009 12:24 234888]
R2 CyberLink Media Library Service(HP TVPlay);CyberLink Media Library Service(HP TVPlay);c:\program files\Hp\TVPlay\Kernel\CLML_NTService\CLMLServer.exe [25/06/2007 12:25 1073152]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [09/07/2012 23:53 654408]
R2 TVPCapSvc;CyberLink Background Capture Service (CBCS HP TVPlay);c:\program files\Hp\TVPlay\Kernel\TV\TVPCapSvc.exe [25/06/2007 12:26 258147]
R2 TVPSched;CyberLink Task Scheduler (CTS HP TVPlay);c:\program files\Hp\TVPlay\Kernel\TV\TVPSched.exe [25/06/2007 12:26 114785]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09/07/2012 23:52 22344]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [04/09/2009 16:00 133104]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [04/09/2009 16:00 133104]
S3 MODBDA2;DiBcom MOD3000 TV receiver;c:\windows\system32\drivers\modbda2.sys [04/06/2005 01:56 30464]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [05/05/2012 15:58 129976]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04/11/2007 15:34 685816]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-04 14:00]
.
2012-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-04 14:00]
.
2012-06-03 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 16:36]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\MAUREL\Application Data\Mozilla\Firefox\Profiles\e7h88ap3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
.
- - - - ORPHELINS SUPPRIMES - - - -
.
MSConfigStartUp-ccApp - c:\program files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-SC2 - c:\program files\SecCenter\scprot4.exe
MSConfigStartUp-SynTPEnh - c:\program files\Synaptics\SynTP\SynTPEnh.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-10 19:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\DbgagD\1*]
"value"="?\0b\05\04\14)1»"
.
Heure de fin: 2012-07-10 19:50:40
ComboFix-quarantined-files.txt 2012-07-10 17:50
.
Avant-CF: 32 252 182 528 octets libres
Après-CF: 34 457 915 392 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut
.
- - End Of File - - 355282BC25665215F73FBDEEB06A8D0C
Ajouter un commentaire
Réponse
+0
moins plus
desinstalle Adaware il vaut pas trois cacahuettes
desinstalle spybot il en vaut pas une de plus
desinstalle Ask.com/AskToolbar/AskBarDis
desinstalle adobe reader 8
desinstalle vuze_remote_Toolbar

===========

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

===========

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ajouter un commentaire
Réponse
+0
moins plus
desinstalle Ask.com/AskToolbar/AskBarDis > j'ai désinstallé les autres mais celui ci je ne l'ai pas trouvé dans panneau de config > ajout/suppression programmes.
Je poursuis avec la suite.
Ajouter un commentaire
Réponse
+0
moins plus
Ajouter un commentaire
Réponse
+0
moins plus
J'ai bien réalisé le scann avec adwcleaner. Je réalise actuellement le scann avec pre-scann mais pour le moment, hormis mon fond d'écran, rien ne se passe.
Je patiente...
Ajouter un commentaire
Réponse
+0
moins plus
t'as pas desactivé les protections
jane- 10 juil. 2012 à 22:48
Je viens de redémarrer pour m'assurer que rien ne soit lancé, j'ai bien désactivé antivir et malwares. Je ne vois pas ce que j'ai oublié. Combien de temps est-ce censé durer ?
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
entre 3 et 15 mn suivant les pc mais ca bouge dans une fenetre

essaie de le lancer avec le clic droit "executer en tant qu'administrateur"
Ajouter un commentaire
Réponse
+0
moins plus
Bonsoir G3N,
Je viens de réessayer plusieurs fois mais sans succès.
Lorsque je clic sur "kill - lancer le scann" , seul mon fond d'écran s'affiche, je ne peux plus rien faire et doit alors éteindre mon ordinateur manuellement avec un appui long sur la touche on
/off.
Avira est bien fermé, je ne l'ai pas supprimé de mon disque dur mais j'ai supprimé son action par "ctrl alt supp".
Ai-je oublié quelque chose... Je ne vois plus quoi faire...
Merci d'avance.
Ajouter un commentaire
Réponse
+0
moins plus
telecharge la version .pif
Ajouter un commentaire
Réponse
+0
moins plus
J'ai un peu capitulé, j'ai tout essayé, les deux versions, et le problème reste le même, dès que je lance le scann, mon fond d'écran s'affiche et rien ne se passe par la suite. Il peut rester ainsi non stop. Et pour l'éteindre rien à faire hormis le débrancher ou appui long sur "power".
...
Je ne vois pas que faire de mieux...
Ajouter un commentaire
Réponse
+0
moins plus
bah si tu rreviens tous les 10 jours......
Ajouter un commentaire
Réponse
+0
moins plus
A force d'essayer et d'attendre chaque soir (pcq je travaille la journée et je dors la nuit), ça m'a pris du temps, je voulais m'assurer que j'ai bien tout fait et malheureusement, le logiciel winlogon n'a jamais fonctionné...
S'il n'y a rien d'autre à faire alors tant pis et merci pour l'aide apportée.
Bon week end.
Ajouter un commentaire
Réponse
+0
moins plus
Ajouter un commentaire
Ce document intitulé «  Cheval de troie - blocage de mon ordinateur  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.