Sujet Précédent Sujet Suivant

Virus W32/Sality.Y

Résolu/Fermé
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 - 12 juin 2009 à 10:46
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 - 12 juin 2009 à 15:15
Bonjour tout le monde,
Voilà, je suis infectée par le virus W32/Sality.Y, refilé par clé usb. J'ai déjà vu pas mal de postes sur le sujet, mais aucun sur le "Y", et je suppose que si c'est une version du virus, c'est peut-être important de le traiter individuellement.
J'ai Antivir, pas moyen de virer le virus, et de ce que j'en ai lu c'est une bien belle saloperie...
Voilà, j'ai téléchargé HighJackThis, faut-il autre chose? Qu'est ce que je dois poster comme rapport pour commencer?
Je suis trop dans le caca, j'ai super besoin de mon pc sans devoir le reformater. Le truc c'est que j'ai peur de sauvegarder mes données sur un disque dur externe et de contaminer celui-ci.

Mon disque dur est divisé en deux partitions, le C:/ avec les programmes et le système d'exploitation, et l'autre avec mes documents.

Merci beaucoup pour votre aide!!
A tout de suite j'espère

16 réponses

Réponse 1 / 16
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 10:55
Hello,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.
0
Réponse 2 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 11:06
Merci pour la vitesse de la réponse

Voilà les deux fichiers texte:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Cilcé at 2009-06-12 11:03:14
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (25%) free of 36 GB
Total RAM: 2039 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:03:32, on 12/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Cilcé\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Cilcé.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1220945662-1844237615-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Ramiz')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 User Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 User Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 User Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'Ramiz')
O4 - S-1-5-21-1220945662-1844237615-839522115-1004 User Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'Ramiz')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
0
Réponse 3 / 16
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 11:11
ce n'est pas bien grave, mais essaie de bien lire les consignes tout le long stp, ce sera plus simple et rapide pour moi comme pour toi.

Je t'avais demandé les deux rapports dans deux messages différents.

Bref passons...

Tu as le rapport d'Antivir STP?
Tu peux me le poster?


Edit: Quels sont les problèmes que tu rencontres? (ralentissements, applications qui ne fonctionnent pas...)
0
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 11:33
Ah désolée
Je te fais suivre le rapport d'Antivir concernant les virus (je suis pas sure que c'est le bon rapport, préviens moi si jamais)

En ce qui concerne la déconne, pour le moment mon pc est juste très lent (je me suis chopée le virus seulement ce matin), un programme comme photoshop prend environs 8 min pour ouvrir une image contre trente secondes hier, ou ne l'ouvre pas. Les programmes en général sont ralentis.
Il y aussi la touche du son sur mon clavier qui ne répond plus, je suis obligée de passer par l'icone du volume sur la barre des tâches. Je ne sais pas si c'est lié, j'ai déjà eu ce problème avant, avec un autre problème.
Voilà
0
Réponse 4 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 11:33
Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 12 juin 2009 09:14

La recherche porte sur 1463523 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Ramiz
Nom de l'ordinateur : CILCEY

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 3/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 3/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26
ANTIVIR2.VDF : 7.1.4.38 2692096 Bytes 29/05/2009 14:50:47
ANTIVIR3.VDF : 7.1.4.85 336384 Bytes 11/06/2009 05:49:33
Version du moteur : 8.2.0.187
AEVDF.DLL : 8.1.1.1 106868 Bytes 1/05/2009 10:03:18
AESCRIPT.DLL : 8.1.2.6 409978 Bytes 12/06/2009 05:49:36
AESCN.DLL : 8.1.2.3 127347 Bytes 16/05/2009 12:08:40
AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 1/06/2009 14:50:48
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 19:01:56
AEHEUR.DLL : 8.1.0.131 1786232 Bytes 12/06/2009 05:49:35
AEHELP.DLL : 8.1.3.6 205174 Bytes 12/06/2009 05:49:33
AEGEN.DLL : 8.1.1.45 348532 Bytes 9/06/2009 19:57:00
AEEMU.DLL : 8.1.0.9 393588 Bytes 9/10/2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 1/06/2009 14:50:47
AEBB.DLL : 8.1.0.3 53618 Bytes 9/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 3/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 7/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: ShlExt
Fichier de configuration......................: C:\DOCUME~1\Ramiz\LOCALS~1\Temp\c220ce6b.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: G:,
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : vendredi 12 juin 2009 09:14

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'G:\'
G:\mloxve.pif
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
G:\djyj.cmd
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
G:\fcxfl.pif
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
G:\uygy.cmd
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
G:\autorun.inf
[RESULTAT] Contient le cheval de Troie TR/Autorun.ACJ
G:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe
[RESULTAT] Contient le code du virus Windows W32/Sality.Y

Début de la désinfection :
G:\mloxve.pif
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa100f7.qua' !
G:\djyj.cmd
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aab00f5.qua' !
G:\fcxfl.pif
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aaa00ee.qua' !
G:\uygy.cmd
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a990104.qua' !
G:\autorun.inf
[RESULTAT] Contient le cheval de Troie TR/Autorun.ACJ
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bda2312.qua' !
G:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe
[RESULTAT] Contient le code du virus Windows W32/Sality.Y
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bda386e.qua' !


Fin de la recherche : vendredi 12 juin 2009 09:15
Temps nécessaire: 00:12 Minute(s)

La recherche a été effectuée intégralement

35 Les répertoires ont été contrôlés
386 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
6 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de contrôler des fichiers
380 Fichiers non infectés
0 Les archives ont été contrôlées
2 Avertissements
6 Consignes
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 11:38
Oki c'est très bien:

*Télécharge et installe UsbFix de C_XX & Chiquitine29.

*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir.

*Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "exécuter en tant qu'administrateur" .

*Choisi l'option 1 ( Recherche )

*Laisse travailler l'outil.

*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 11:54
Ah merci pour l'information, toujours bon à savoir


Voilà le rapport d'UsbFix (malheureusement j'ai plus la clé usb a l'origine du problème, dommage pour le propriétaire de cette fichue clé):


############################## [ UsbFix V3.030 | Scan ]

# User : Cilcé (Administrateurs) # CILCEY
# Update on 12/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 11:50:14 | 12/06/2009

# Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 35 Go (8,9 Go free) # NTFS
# D:\ # Disque fixe local # 76,78 Go (8,76 Go free) [Multimédias] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# I:\ # Disque amovible # 3,94 Go (5,45 Mo free) [CILCEY] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.be/?gws_rd=ssl"
HKCU_Main: "Start Page Redirect Cache"="https://www.msn.com/fr-be?lang=fr-be&ocid=iehp"
HKCU_Main: "Start Page Redirect Cache_TIMESTAMP"=hex:22,ed,a1,e2,af,d7,c9,01
HKCU_Main: "Start Page Redirect Cache AcceptLangs"="fr-be"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Cilc‚"
HKLM_logon: "AltDefaultUserName"="Cilc‚"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: igfxtray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: igfxpers=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: HControl=C:\WINDOWS\ATK0100\HControl.exe
HKLM_Run: Raccourci vers la page des propriétés de High Definition Audio=HDAShCut.exe
HKLM_Run: Acrobat Assistant 8.0="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
HKLM_Run: KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: RocketDock="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
HKCU_Run: SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
HKCU_Run: DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=

################## [ Fichiers # Dossiers infectieux ]

Found ! "C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013"
Found ! C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
Found ! I:\Recycled\ctfmon.exe

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Found ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )
Found ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center\Svc "AntiVirusDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )
Found ! HKLM\software\microsoft\security center\Svc "FirewallDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )
Found ! HKLM\software\microsoft\security center\Svc "UacDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center\Svc "UpdatesDisableNotify" ( 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{01d51994-2fda-11de-89c6-0019d2b83c6f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{038b7e1a-416e-11de-89f6-0019d2b83c6f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{038b7e1a-416e-11de-89f6-0019d2b83c6f}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{038b7e1a-416e-11de-89f6-0019d2b83c6f}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{37a328b0-33bd-11de-89d1-0019d2b83c6f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{37a328b0-33bd-11de-89d1-0019d2b83c6f}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.030 ! ]
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 12:05
Tant pis pour l'autre clé, mais en attendant la tienne de 4Go contient aussi une infection.


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir

* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "exécuter en tant qu'administrateur" .

* choisi l'option 2 ( Suppression )

* Ton bureau disparaîtra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau dans ton prochain message .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 6 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 12:15
OK je fais ça de suite, merci

(Par contre, quand même, j'suis pas une bille, le ctrl-c ctrl-v je connais, ahah)
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 12:20
(Par contre, quand même, j'suis pas une bille, le ctrl-c ctrl-v je connais, ahah)

No problémo Cécile, c'est juste que ce genre de message je ne l'écris qu'une fois dans un fichier texte et qu'à mon tour je le copie/colle dans le forum. Ce message a pour but d'être compris par le maximum de personnes (Newbie comme advanced user^^).
0
Réponse 7 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 12:41
Pas de problème :D

Voilà le résultat:

############################## [ UsbFix V3.030 | Cleaning ]

# User : Cilcé (Administrateurs) # CILCEY
# Update on 12/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 12:33:52 | 12/06/2009

# Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 35 Go (8,93 Go free) # NTFS
# D:\ # Disque fixe local # 76,78 Go (8,76 Go free) [Multimédias] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# I:\ # Disque amovible # 3,94 Go (5,45 Mo free) [CILCEY] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
Deleted ! "C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013"
Deleted ! I:\Recycled\ctfmon.exe

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\\ "AntiVirusDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "AntiVirusOverride" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "FirewallDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "FirewallOverride" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "UacDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "UpdatesDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\Svc\\ "AntiVirusDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\Svc\\ "AntiVirusOverride" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\Svc\\ "FirewallDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\Svc\\ "FirewallOverride" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\Svc\\ "UacDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\Svc\\ "UpdatesDisableNotify" # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\{01d51994-2fda-11de-89c6-0019d2b83c6f}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{038b7e1a-416e-11de-89f6-0019d2b83c6f}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{37a328b0-33bd-11de-89d1-0019d2b83c6f}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[14/04/2009 23:04|--a------|0] - C:\AUTOEXEC.BAT
[14/04/2009 22:53|---hs----|212] - C:\boot.ini
[28/09/2001 14:00|-rahs----|4952] - C:\Bootfont.bin
[14/04/2009 23:04|--a------|0] - C:\CONFIG.SYS
[14/04/2009 23:04|-rahs----|0] - C:\IO.SYS
[14/04/2009 23:04|-rahs----|0] - C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] - C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[12/06/2009 12:34|--a------|4085] - C:\UsbFix.txt
[24/05/2009 11:04|--a------|1336] - D:\audio.txt
[02/08/2007 14:00|-rahs----|114688] - I:\kbdmmsfi.dll
[22/04/2009 18:42|--a------|4364] - I:\BOOTEX.LOG
[03/04/2009 11:37|--ah-----|8694] - I:\._Silencieuse jusqu'au d‚gel d‚finitif.indd

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# I:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.030 ! ]
0
Réponse 8 / 16
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 12:48
Ok, bien joué.

Cela n'est pas terminé:

Tu es infectée par une barre d'outil

Télécharge Toolbar-S&D (Merci eric 71) sur ton Bureau:
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

Lance l'installation du programme en double cliquant sur le fichier téléchargé.
Double-clique sur le raccourci de Toolbar-S&D.
Choisi la langue souhaitée en tapant la lettre "F" puis en validant avec la touche Entrée.
Choisi maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
Poste un copier/coller du rapport généré.
0
Réponse 9 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 12:52
Oh trop bon
Rah ces gens qui programment <3



-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz )
BIOS : Default System BIOS
USER : Cilcé ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
C:\ (Local Disk) - NTFS - Total:35 Go (Free:10 Go)
D:\ (Local Disk) - NTFS - Total:76 Go (Free:10 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
I:\ (USB) - FAT32 - Total:4034 Mo (Free:0 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( ven. 12/06/2009|12:50 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\DAEMON Tools Toolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Start Page Redirect Cache"="https://www.msn.com/fr-be?lang=fr-be&ocid=iehp"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - ven. 12/06/2009|12:51 - Option : [1]

-----------\\ Fin du rapport a 12:51:08,70
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 12:58
C'est cool, c'est juste le dossier de Daemon tools.

Relance Toolbar-S&D. Choisis cette fois l'option 2 "suppression" puis valide avec "Entrée".
Ne ferme pas la fenêtre lors de la suppression
Poste ensuite le rapport.


Au cas où :
Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer.exe puis valide.
0
Réponse 10 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 13:00
-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz )
BIOS : Default System BIOS
USER : Cilcé ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
C:\ (Local Disk) - NTFS - Total:35 Go (Free:10 Go)
D:\ (Local Disk) - NTFS - Total:76 Go (Free:10 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
I:\ (USB) - FAT32 - Total:4034 Mo (Free:0 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( ven. 12/06/2009|12:59 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Start Page Redirect Cache"="https://www.msn.com/fr-be?lang=fr-be&ocid=iehp"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - ven. 12/06/2009|12:51 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - ven. 12/06/2009|13:00 - Option : [2]

-----------\\ Fin du rapport a 13:00:00,20

Voilà le rapport :D
0
Réponse 11 / 16
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 13:12
Muy bien:)


On virera à la fin tout ce que je t'ai fait installer jusqu'ici.

En revanche on peut lancer un dernier scan par sécurité avec MBAM, qui est un bon Antispyware et que tu pourras garder par la suite sur ton pc tout comme Ccleaner plus bas.


Télécharge Malwarebytes' Anti-Malware (MBAM)

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen rapide"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

"L'examen s'est terminé normalement. "

Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs. (Internet Explorer/ Firefox...)
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

-----------------------------------------------------------------------------------------------------------------


Après m'avoir posté ton rapport tu peux suivre ces instructions, pour installer et exécuter ccleaner.

En résumé:
Ne pas installer le yahoo toolbar.

Il faut cocher ces deux cases avant le nettoyage:
* clique sur "Options", "Avancé" et décoche la case: "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".

*Dans Nettoyeur/Windows /avancé il faut cocher la case vieilles données du prefetch.


Et fais ensuite ces deux procédures:
1/Nettoyage classique
2/Recherche des erreurs .--> Tu peux effectuer 3 fois la recherche des erreurs de registre.(en n'oubliant pas à chaque fois comme proposé de faire une sauvegarde dans mes documents)

CCleaner ne génère pas de rapports: ne perd pas ton temps à en chercher un. :)


*Concernant Ccleaner:
Personnellement, dès que j'ai un fichier dans la corbeille, au lieu de la vider "classiquement" je fais un clic droit dessus et je lance ccleaner.
Et je fais un nettoyage de la base de registre au moins une fois par mois. (en sauvegardant à chaque fois le fichier).
A ce propos de l'utilité de cette sauvegarde: je n'ai jamais eu de souci avec ccleaner, mais si par erreur un nettoyage de la base de registre avait été un peu trop "violent" et que par la suite tu constatais des désagréments sur ton pc, il suffit de double cliquer sur le fichier de sauvegarde pour que tous les éléments supprimés se trouvent réintégrés à la base de registre.
0
Réponse 12 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 13:34
Voilà le rapport de MBAM
Je fais le reste maintenant.

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2266
Windows 5.1.2600 Service Pack 2

12/06/2009 13:34:02
mbam-log-2009-06-12 (13-34-02).txt

Type de recherche: Examen rapide
Eléments examinés: 100047
Temps écoulé: 4 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx1c643131} (Worm.Autorun) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 13 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 13:45
Ouf terminé! Merci beaucoup
CCleaner a trouvé pas mal d'erreurs...
Mon pc est clean maintenant?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 14:02

Purge ta restauration de cette manière.


________________________________________________________________________________________________________________________



Télécharge toolscleaner sur ton Bureau:

* Clique droit sur ToolsCleaner2.exe puis sélectionne "Exécuter en tant qu'administrateur". Ensuite, laisse le bien travailler sans rien toucher.
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\) -->colle le dans ta réponse.


________________________________________________________________________________________________________________________





Tu peux garder MBAM en tant qu’anti malware, il est très efficace.
Tu peux lancer un scan de temps en temps (tous les 2 mois), ou si tu sens un ralentissement de ton pc.
N'oublie pas de faire une mise à jour avant de lancer le scan.
tuto


________________________________________________________________________________________________________________________


Quelques recommandations:

Utilise Firefox plutôt qu'Internet explorer pour surfer car il est plus sécurisé.
Conserve Internet explorer, il est utile pour faire les mises à jour Windows.

Tu peux y rajouter ces deux extensions afin de te garantir un surf sain et sans pubs:

Wot

Adblock est expliqué ici, tu peux t'arrêter à cet écran au niveau de la configuration, car l'abonnement français te sera proposé et c'est celui-là que tu sélectionneras.
Le terme français "abonnement" faisant souvent référence à une somme à payer de manière régulière, je préfère te rassurer en t'indiquant qu'il ne s'agit aucunement de ce genre d'abonnements. :)

Il faut savoir que liens publicitaires génèrent fréquemment des infections, de plus, tes pages web scalpées de leurs pubs, s'afficheront plus vite.


________________________________________________________________________________________________________________________

J'allais oublié, ton pc n'est pas à jour, il faudrait que tu installes le SP3 le plus tôt possible.
Ton pc sera par la suite moins sensible aux infections dues aux failles de sécurité non corrigées sous Windows.


Si tu "gères" tout ce qui est indiqué ici, tu peux avoir l'esprit tranquille.

Concernant le téléchargement.


J'attends ton rapport de toolscleaner et on aura fini concernant la désinfection, on verra peut-être ensuite si tes problèmes subsistent.
Ton Brico-pack vista, cela t'est réellement utile?
0
Réponse 14 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 14:24
[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Toolbar SD: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Cilcé\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Cilcé\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Cilcé\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Cilcé\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Cilcé\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Cilcé\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Cilcé\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Cilcé\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Cilcé\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Cilcé\Bureau\ToolBarSD.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Cilcé\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\Cilcé\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Cilcé\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Toolbar SD: supprimé !
C:\UsbFix: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Cilcé\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
Réponse 15 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 14:26
Merci pour tous les conseils.
Pour firefox c'est ce que je fais déjà, de toutes manières. Et puis il est plus à jour qu'IE au niveau des codes CSS...
Merci pour Adblock, ça va probablement m'être utile
Et je vais voir pour la nouvelle version SP3 alors :D

Merci de m'avoir consacré tout ce temps, tu m'sors d'un terrible pétrin.
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
12 juin 2009 à 14:45
la nouvelle version SP3
Elle a quasiment deux ans...

Tu peux supprimer tools cleaner.

Et puis il est plus à jour qu'IE au niveau des codes CSS...
Yep, j'ai vu que tu bricolais pas mal :)

Merci de m'avoir consacré tout ce temps
Je t'en prie, c'était avec plaisir.


Ton pc tourne comme il faut?

N'hésite pas si tu as des bugs récurrents sur ce que tu m'exposais au début, il doit y avoir quelque chose à faire.

Bye @+
0
Réponse 16 / 16
Cilhab Messages postés 37 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 29 décembre 2010 3
12 juin 2009 à 15:15
Tout va bien pour le pc, clean de chez clean. La touche du son sur le clavier re-fonctionne, photoshop s'ouvre en 20", tout ça tout ça... Merci beaucoup

Et j'ai lu la page sur le téléchargement: sérieusement, c'est bien la première fois que je lis ce genre d'information jusqu'au bout, je trouve ça plutôt pas mal de démontrer par a+b les dangers du téléchargements sans tomber dans une moralité pesante sur l'illégalité de celui-ci. Même si je ne suis pas franchement fière d'utiliser le peer to peer pour télécharger des séries débiles. Mais on va pas entamer le débat...

Par contre, pour le SP3, j'ai un problème. J'ai acheté mon pc il y a deux ans (un packard bell esay note) monté, et fonctionnant sous vista. J'avais une tablette graphique, une antiquité avec une cable série. Pas de port série sur le portable, j'ai acheté un adaptateur usb, mais la tablette était tellement vieille que la société Wacom m'a gentillement expliqué qu'il n'existait pas de driver à jour. Bref, comme de toute façon le pc tournait mal avec un vista trop lourd et des programmes assez importants, il a fallu que je redescende a XP. Je sais pas s'il y avait moyen de le faire de manière légale, j'avoue que j'me suis pas renseigné. Mon frère m'a installé une version pirate d'XP (parce que bon, merde, j'venais de payer ma licence vista avec mon pc, j'allais pas en acheté une pour XP c'est quand même pas donné)...
En bref, avec une telle version, ya moyen d'installer le service pack 3?

Et une dernière chose: le bricko-pack vista: oui quand même. La barre des tâches à la façon mac m'est trop utile pour revenir à un xp non customisé... J'suis trop habituée pour la retirer. Elle fait beaucoup de dégât?
0

Discussions similaires

W32 L32: correspondance entre taille US et taille française
efg -
sibel -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
À quoi correspond 32x32 US en taille française pour un jean ?
Alison1958 -
Thordendall -

1 réponse
Commande internet correspondance taille US pour jean homme.
Larkos -
Zabou -

5 réponses
Taille Us - taille française
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses