Pb avec winupgroRésolu/Fermé

Question

Bonjour,

J'ai trouver ca avec findykill et je ne sait pas quoi faire pour l'enlever

voici le rapport findykill :


############################## [ FindyKill V4.726 ] 
 
# User : STEIMER (Administrateurs) # WOO
# Update on 22/04/09 by Chiquitine29
# Start at: 14:00:07 | 23/08/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Sempron(tm)   2800+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : Webroot Desktop Firewall[ Enabled ]1.2

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 114,48 Go (8,79 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
 
############################## [ Active Processes ]  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LogonUI.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ] 
 
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf  
 
################## [ Infected Temp Files ] 
 
 
################## [ Registry / Infected keys ]  
 
 
################## [ Cleaning Removable drives ]  

# Deleting Files : 
 
 
 
################## [ Registry / Mountpoint2 ] 

# -> Not found !  
 
################## [ States / Restarting of services ]   

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

# Ndisuio -> # Type of startup =3  
# EapHost -> # Type of startup =2  
# Ip6Fw -> # Type of startup =2  
# SharedAccess -> # Type of startup =2  
# wuauserv -> # Type of startup =2  
# wscsvc -> # Type of startup =2  
 
################## [ Searching Other Infections ] 
 
# -> Nothing found.
 
################## [ ! End of Report # FindyKill V4.726 ! ]

Lyonnais92 · Answer

Bonjour,

1) c'est un reste de la désinfection de mai

2) FindyKill l'a supprimé :

Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf 

3) ta version de FindyKill est complètement obsolète.

4) Pour vérifier :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau

Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

Décoche les cases O45 et O61.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Re,

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option  "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

====

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
O63 - Logiciel: FindyKill
O63 - Logiciel: ToolsCleaner 

Ouvre le répertoire C:\Program Files\ZHPDiag (le répertoire où tu as créé ZHPDiag).

Double clique sur l'icône ZHPFix.exe sur ton Bureau.


Clique successivement sur l'icône H (pour eeffacer le rapport qui s'est affiché) puis sur l'icône du moniteur.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

====

Télécharge FindyKill de Chiquitine29 sur ton Bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte-toi d'Internet et ferme toutes applications en cours.

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...).

• Double-clique sur le raccourci FindyKill qui est sur ton Bureau pour lancer l'outil.

• Au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu Choisis l'option " 1 " (Recherche) et tape sur [Entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

Lyonnais92 · Answer

RE,

vu, l'outil a fait ce que j'attendais.

Lyonnais92 · Answer

Re,

il reste une infection Edgacces décelée par Toolbar S&D.

 Télécharge Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.


Double clique sur Navilog1.exe pour lancer l'outil.



Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2 >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

S:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau 

====

Relance ZHPDiag après avoir connecté tes clés USB ou DD externes et poste le rapport avec la même procédure cijoint.

woolff · Answer

Salut ,

peux-tu me dire exactement ce que je dois faire avec ZHPDiag s'il te plait

sinon voila le repport de navilog:

Fix Navipromo version 4.0.2 commencé le 27/08/2009 23:16:50,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm)   2800+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : STEIMER ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
Firewall  : Webroot Desktop Firewall 1.2 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:114 Go (Free:3 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:465 Go (Free:2 Go)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\yaaga.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\STEIMER\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !




*** Scan terminé 28/08/2009  0:03:48,17 ***

Lyonnais92 · Answer

Bonjour,

la procédure pour ZHPDiag :

Double clique sur le raccourci ZHPDiag sur ton Bureau

Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

Décoche les cases O45, O61 et O63.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Re,

le rapport ne montre plus rien.

Comment va l'ordi ?

Tu refais un rapport ZHPDiag en cochant seulement la case O63 (et tu le postes avec la procédure cijoint).

Je reviens en fin de matinée.

Woolf · Answer

voila le lien 

http://www.cijoint.fr/cjlink.php?file=cj200908/cijCSADgY1.txt

Lyonnais92 · Answer

Re,

tu es sur de ne pas avoir coché la case O62 plutôt que la O63 ?

Woolf · Answer

ba non je me suis pas trompé, justement je suis vigilent mais j'ai trouvé le resultat bizard donc là j'ai donc recommencé et apperement ça a marcher:

http://www.cijoint.fr/cjlink.php?file=cj200908/cijJrIlHEO.txt

Lyonnais92 · Answer

Re,

désolé, un mois d'absence et l'outil a évolué.

Tu n'as pas dit comment l'ordi se portait.

une ligne à supprimer :

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} -

Double clique sur l'icône ZHPFix.exe sur ton Bureau.


Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône du moniteur.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Woolf · Answer

l'ordi va bien mais il allé bien quand meme avant que je te contact mais je voudrais savoir ce que winupgro enjendre comme dégats ou qu'est qu'il fait a ma bécane?

au fait voila ce que tu m'a demandé :

ZHPFix v1.12.09  by Nicolas Coolman - Rapport de suppression du 28/08/2009 16:01:21
Fichier d'export Registre : C:\ZHPExportRegistry-28-08-2009-16-01-21.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} -  => Registry key value removed successfully

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0



End of the scan

Lyonnais92 · Answer

Re,

rassure toi, ce fichier était un simple résidu de l'infection bagle.

On va supprimer les outils inutiles.

Double clique sur l'icône de ZHPFix sur ton Bureau.

Clique sur l'icône A (nettoyeurs d'outils).

Copie les lignes apparues (mise en surbrillance puis Ctrl + C) et colle les dans un fichier .txt (en ouvrant le Bloc-Notes).

Puis, clique sur OK, puis sur Tous et enfin sur Nettoyer.

====

Il me semble qu'il te manque un parefeu contrôlant les connexions sortantes. Je te suggère Online Armor :

https://www.malekal.com/tutorial-online-armor-free/

Lyonnais92 · Answer

Bonjour,

amusant !!!!

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : winupgro
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

woolff · Answer

voilà le rapport :

 29/08/2009 ---- 12:14:29,95  

----------------------------------
§§§§§§ [winupgro] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************

c:\FindyKill\Tools\winupgro.exe


*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Lyonnais92 · Answer

Re,

via l'Explorateur Windows, supprime ce répertoire :

c:\FindyKill

(clic droit et Supprimer).

Lyonnais92 · Answer

Re,

là aussi des restes.

Relance FindyKill :

(vérifie que les supports amovibles susceptibles d'avoir été infectés sont branchés)

-> choisis cette fois-ci l'option 2 .

/!\ durant la procédure, l'ordinateur va redémarrer !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , cliques sur " Ok " .

--> ensuite poste le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .

woolff · Answer

voilà le rapport [je l'ai fais 2 fois]

############################## | FindyKill V5.006 |

# User : floren (Administrateurs) # O
# Update on 14/08/09 by Chiquitine29
# Start at: 20:14:04 | 01/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Celeron(R) CPU          540  @ 1.86GHz
# Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disque fixe local # 100,6 Go (10,75 Go free) # NTFS
# D:\ # Disque fixe local # 11,18 Go (2,25 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\floren\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |

Corrompu : C:\Program Files\Ubisoft\Registeregister.exe
[Offset = 000000CC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navw32.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navwnt.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App
isoptui.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App\osCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\PIF_96E2\PIFSvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccApp.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccEvtMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSetMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSvcHst.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\AUPDATE.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUALL.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LuConfig.EXE
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\NotifyHA.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\Remover\Remover.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\uiNPC\uiNPC\NPC\isUAC.exe
[Offset = 000000EC - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.006 ! |

Lyonnais92 · Answer

Re,

cherche aussi un fichier winupgro dans le répertoire C:/FindyKill et supprime le.

En plus, il y a des traces de résidu d'infection sur Norton.

Pour voir où en est la protection de l'ordi et si il n'y a rien d'autre, fais ceci :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau

Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

Décoche les cases O45 et O61.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Bonjour,

je ne vois rien dans le rapport.

Mais tu n'as pas fait exactement ce que je demandais ; tu as coché seulement l'option O61 et décoché les autres. Je demandais de tout cocher puis de décocher O45 et O61.

Il faut que tu recommences.

Tu as trouvé un fichier Winupgro ?

woolff · Answer

a oué désolé j'ai pas fais attention, ce coup ci c'est bon j'ai fais ce qu'il fallais :

http://www.cijoint.fr/cjlink.php?file=cj200909/cij4RfzM0g.txt

Lyonnais92 · Answer

Re,

une toolbar infectée.

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option  "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

woolff · Answer

Voila le rapport de toolbar

au fait je n'arrive pas a effacer  :    C:\Users\floren\Downloads\eMule\Incoming\.~lock.€a Marche Pirater Le Mot De Passe D'une Boite Mail Hotmail,Msn, Orange, Free (Hacker,Crack,Piratage Jeux , Pc , Film , Psp).doc#

j'ai pourtant fais une recherche mais je ne le retrouve pas



   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Basique  ( v6.0.6001 ) Service Pack 1
   X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) CPU          540  @ 1.86GHz )
   BIOS : Default System BIOS
   USER : floren ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   C:\ (Local Disk) - NTFS - Total:100 Go (Free:8 Go)
   D:\ (Local Disk) - NTFS - Total:11 Go (Free:2 Go)
   E:\ (CD or DVD)
   F:\ (Local Disk) - NTFS - Total:465 Go (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 02/09/2009|18:54 )

   [ UAC => 1 ]

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF"
   "Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_page_URL"="https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF"
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\Windows\System32\blank.htm"
   "Search bar"="http://www.bing.com/spresults.aspx"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\floren\Downloads\eMule\Incoming\.~lock.€a Marche Pirater Le Mot De Passe D'une Boite Mail Hotmail,Msn, Orange, Free (Hacker,Crack,Piratage Jeux , Pc , Film , Psp).doc#


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 02/09/2009|18:18 - Option : [2]
   2 - "C:\ToolBar SD\TB_2.txt" - 02/09/2009|18:55 - Option : [2]

   -----------\  Fin du rapport a 18:55:01,40

woolff · Answer

au fait la toolbar infectée a été supprimer (deamontool) c'était dans le premier rapport

Lyonnais92 · Answer

Re,

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Toolbar



Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône du moniteur.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse

woolff · Answer

voila ce que ca me met quand je clik sur nettoyer :


---------------------------
Zhpfix
---------------------------
Impossible de créer le fichier "C:\Program Files\ZHPDiag\ZHPFixQuarantine.txt". Accès refusé.
---------------------------
OK   
---------------------------

Lyonnais92 · Answer

Re,

alors on essaye "à la barbare".

Cherche le répertoire par l'Explorateur Windows et clic droit puis Supprimer.

woolff · Answer

pour : 

O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Toolbar 

c'est bon je l'ai supprimé

mais il reste cette ligne que je n'arrive pas a supp. :


   C:\Users\floren\Downloads\eMule\Incoming\.~lock.€a Marche Pirater Le Mot De Passe D'une Boite Mail Hotmail,Msn, Orange, Free (Hacker,Crack,Piratage Jeux , Pc , Film , Psp).doc#


pourtant j'ai recherché dans l'explorer mais il ne trouve rien (j'suis galère comme mek!) donc as-tu la solution?

good night

Lyonnais92 · Answer

Bonjour,

as tu essayé en ayant affiché tous les fichiers :

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

woolff · Answer

il n'y a rien a faire c'est bizarre; pas moyen de mettre la main dessus

Lyonnais92 · Answer

Re,

tu vois les autres fichiers de ce répertoire ?

Lyonnais92 · Answer

Re,

est ce que tu le vois sous DOD ?

Démarrer, Exécuter.

Tu tapes cmd dans la boîte de saisie puis OK.

Tu tapes 

cd C:\Users\floren\Downloads\eMule\Incoming

tu tapes dir /p

Si tu le vois, il commence par .~lock.

Il y en a d'autres qui commencent ainsi ?

woolff · Answer

non je ne le voie pas sous DOD et pour l'autre fichier c'est bon je l'ai supprimer par contre j'ai repasser un coup de findykill et ca me donne ca : 
ce que j'ai mis en gras il me l'efface a chaque fois que je fais la manip. et sinon sa veut dire quoi PEH... dans findykill?

############################## | FindyKill V5.006 |

# User : floren (Administrateurs) # O
# Update on 14/08/09 by Chiquitine29
# Start at: 12:53:02 | 03/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Celeron(R) CPU          540  @ 1.86GHz
# Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disque fixe local # 100,6 Go (2,52 Go free) # NTFS
# D:\ # Disque fixe local # 11,18 Go (2,25 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque amovible # 7,45 Go (7,45 Go free) # FAT32

############################## | Processus actifs |


################## | C: |


################## | C:\Windows |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\floren\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |

Corrompu : C:\Program Files\Ubisoft\Registeregister.exe
[Offset = 000000CC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navw32.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navwnt.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App
isoptui.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App\osCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\PIF_96E2\PIFSvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccApp.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccEvtMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSetMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSvcHst.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\AUPDATE.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUALL.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LuConfig.EXE
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\NotifyHA.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\Remover\Remover.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\uiNPC\uiNPC\NPC\isUAC.exe
[Offset = 000000EC - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.006 ! |

woolff · Answer

Au fait je suis sous vista

et maintenant j'ai un autre probleme : 

il y a un fichier nommé "desktop.ini" qui c'est installé partout dans le pc et qui est insupprimable
et aussi dans mes documents il y a  59 fichiers ntuser.ini qui ont débarqués

peux-tu m'aider?

et est-ce qu'une restauration systeme est utile ou non?

wolf · Answer

c'est bon j'azi reussi a supprimer le fichier :

.~lock.€a Marche Pirater Le Mot De Passe D'une Boite Mail Hotmail,Msn, Orange, Free (Hacker,Crack,Piratage Jeux , Pc , Film , Psp).doc#

donc maintenant il reste ce que findykill trouve a chaque fois ( ce que je t'ai mis en gras dans un message precedent) et les fichiers "desktop.ini" et "ntuser.ini" si tu veux bien t'en occupé?

Lyonnais92 · Answer

Bonsoir,

a priori, ce sont des fichiers légitimes.

Prends en un de chaque, clic droit et modifier (ou ouvrir avec le Bloc-notes).

Copie le contenu ici.

woolff · Answer

pour les fichiers desktop et tout c'est bon c'est réglé

par contre j'ai un autre truc a te demander : mon pc ne reconner plus mon DDE multimedia

quand je le branche normalement et que je veux aller dedans je passe par "ordinateur" donc il n'y est pas et quand je ferme cette fenetre le bureau disparait et ne réapparé que si je le déconnecte de mon PC

as-tu la solution? j'espere avoir été suffisement claire

ps: je croyais que tu avais laché l'affaire donc légacy" est entre les mais d'un de tes collègues

Lyonnais92 · Answer

Re,

si tu ouvres l'Explorateur Windows, il figure dans la liste des disques ?

Si oui, on peut examiner son contenu ?

Lyonnais92 · Answer

Bonjour,

sur l'ordi, il fonctionne ?

Lyonnais92 · Answer

Re,

et il a fonctionné ?

Lyonnais92 · Answer

Bonjour,

est ce que ton DD multi média a déjà été connecté au pc et, si oui, pouvais tu accéder à son contenu ?

En d'autres termes, est ce que ce dysfonctionnement a quelque chose à voir avec l'infection et/ou la désinfection.

Lyonnais92 · Answer

Bonjour,

si je comprends bien :

- tu as, un jour, démarré l'ordi  avec le DDE connecté

- le démarrage ne s'est pas fait correctement

- tu as débranché le DDE avec Windows en cours de démarrage

- le démarrage s'est poursuivi

- depuis, le DDE n'est plus reconnu

====

Fais démarrer l'ordi sans le DDE

Ouvre l'Explorateur Windows

Branche le DDE

Est ce que un nouveau périphérique apparait ? (probablement avec la lettre F: car C: est ton disque dur et D: et E: sont des lecteurs CD)

Est ce que l'icône "Débrancher le disque dur en toute sécurité apparait dans la barre des tâches ?

===

Y a-t-il des données à récupérer sur le disque (je veux dire des données dont il n'existe pas de copie ou que tu ne peux pas retrouver sur le Net) ?

woolff · Answer

salut, tout d'abord je voudrais m'excusé pour ne pas t'avoir répondu mais je n'avais plus de connexion.

J'ai de nouveau des problemes :

quand je passe un coup de Findykill (suppression) , a 70%, il y a une fenetre qui s'affiche :

- Utilitaire (QGREP) de recherche de chaînes de caractères à cessé de fonctionner

et au deuxième redémarrage une fenêtre s'affiche :

- hpqwmiex module à cessé de fonctionner

puis apres si je ne passe pas Findykill , je peux redemarrer autant de fois que je le souhaite , ces deux fenetres que je viens de te cité ne s'affichent pas

je t'envois le rapport Findykill et espere avoir été claire 


############################## | FindyKill V5.006 |

# User : floren (Administrateurs) # O
# Update on 14/08/09 by Chiquitine29
# Start at: 21:57:03 | 21/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Celeron(R) CPU          540  @ 1.86GHz
# Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18828
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disque fixe local # 100,6 Go (1,17 Go free) # NTFS
# D:\ # Disque fixe local # 11,18 Go (2,25 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\floren\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |

Corrompu : C:\Program Files\Ubisoft\Registeregister.exe
[Offset = 000000CC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navw32.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navwnt.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App
isoptui.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App\osCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\PIF_96E2\PIFSvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccApp.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccEvtMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSetMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSvcHst.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\AUPDATE.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUALL.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LuConfig.EXE
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\NotifyHA.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\Remover\Remover.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\uiNPC\uiNPC\NPC\isUAC.exe
[Offset = 000000EC - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.006 ! |

Lyonnais92 · Answer

Bonsoir,

il faut que tu réinstalles un antivirus.

Des fonctionnalités de Norton ont été touchées.

Si tu as une licence annuelle, réinstalle le.

Si tu as seulement une période d'essai, je te suggère d'installer Antivir :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

===
Ensuite, nettoyage des outils :


Démarrer, Exécuter, tape combofix /u dans la zone de saisie puis clique sur OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Fais  un clic droit et choisis Exécuter en tant qu'administrateur.

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


Ensuite,

Télécharge FindyKill de Chiquitine29 sur ton Bureau :

http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
hxxp://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte-toi d'Internet et ferme toutes applications en cours.

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...).

• Double-clique sur le raccourci FindyKill qui est sur ton Bureau pour lancer l'outil.

• Au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu Choisis l'option " 1 " (Recherche) et tape sur [Entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

woolff · Answer

salut

alors, pour 
Démarrer, Exécuter, tape

combofix /u

dans la zone de saisie puis clique sur OK.

mon ordi n'a rien trouvé

et je voulais te dire aussi que je peux passé 50 fois le defragmenteur de disque c'est comme si je ne faisais rien

je te poste le rapport toolcleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\FindyKill.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\floren\Desktop\FindyKill.txt: trouvé !

---------------------------------
--> Suppression: 

C:\FindyKill.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\floren\Desktop\FindyKill.txt: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\FindyKill: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !

Corbeille vidée!

Lyonnais92 · Answer

Bonsoir,

rien de grave alors.

je pars qq jours.

Rappelle moi jeudi prochain.

woolff · Answer

salut ,

alors es-tu revenus?

Lyonnais92 · Answer

Bonjour,

je suis revenu.

Quelques modifications à faire dans la base de registre pour restaurer les paramètres par défaut.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

====

Pour tes cookies,

    =>/b Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
    -- Met le sur ton bureau

    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner  

Tu le fais une fois tous les jours où tu as surfé sur le Net.

woolff · Answer

salut
alors pour la fusion ca ne marchde pas j'ai cette fenetre qui s'affiche

[Window Title]
Éditeur du Registre

[Content]
Impossible d'importer C:\Users\floren\Desktop\fix.reg : toutes les données n'ont pas été inscrites correctement dans le Registre. Certaines clés sont ouvertes par le système ou par d'autres processus.

[OK]

Lyonnais92 · Answer

Re,

alors on va faire autrement. 

&#9654; Télécharge FindyKill de Chiquitine29 sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte toi et ferme toutes applications en cours ! 

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .
 
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654; Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

woolff · Answer

le lien que tu m'as donné NOT FOUND donc je sais pas?

Lyonnais92 · Answer

Re,

désolé, celui-ci devrait fonctionner :

http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe

woolff · Answer

salut

je ye poste le rapport de findykill mais arrivé a 60% il me met toujours :

QGREP  de recherche de chaînes de caracteres a cessé de fonctionné 



############################## | FindyKill V5.016 |

# User : floren (Administrateurs) # O
# Update on 26/10/2009 by Chiquitine29
# Start at: 15:14:37 | 08/11/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Celeron(R) CPU          540  @ 1.86GHz
# Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18828
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 100,6 Go (2,95 Go free) # NTFS
# D:\ # Disque fixe local # 11,18 Go (2,25 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\floren\AppData\Roaming |

################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center\Svc] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center\Svc] "FirewallOverride"  
Présent ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.016 ! |

Lyonnais92 · Answer

Bonjour,

désinstalle ta version de Findykill en exécutant l'option 4.

===

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
REGEDIT4

[hkey_local_machine\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:0
"FirewallDisableNotify"=dword:0
[hkey_local_machine\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:0
"FirewallOverride"=dword:0
[hkey_local_machine\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
"DisableRegistryTools" =dword:0
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

woolff · Answer

Salut

bon ça ne marche toujours pas et pourtant j'ai suivi a la lettre

[Window Title]
Éditeur du Registre

[Content]
Impossible d'importer C:\Users\floren\Desktop\fix.reg : toutes les données n'ont pas été inscrites correctement dans le Registre. Certaines clés sont ouvertes par le système ou par d'autres processus.

[OK]

Lyonnais92 · Answer

Bonjour,

alors on va faire comme ça :

Télécharge FindyKill de Chiquitine29 sur ton Bureau :

http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe

! Déconnecte toi d'Internet et ferme toutes les application en cours ( navigateur compris ).

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...).

• Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu choisis l'option 2 (suppression) et tape sur [Entrée].

• Le pc va redémarrer automatiquement ...

• Le programme va travailler , ne touche à rien ... , ton Bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

woolff · Answer

re,

voilà le rapport de suppression 


############################## | FindyKill V5.017 |

# User : floren (Administrateurs) # O
# Update on 01/11/2009 by Chiquitine29
# Start at: 11:09:19 | 10/11/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Celeron(R) CPU          540  @ 1.86GHz
# Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18828
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 100,6 Go (1,47 Go free) # NTFS
# D:\ # Disque fixe local # 11,18 Go (2,25 Go free) [PRESARIO_RP] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 1,87 Go (898,88 Mo free) # FAT
# G:\ # Disque amovible # 7,45 Go (425,15 Mo free) # FAT32
# H:\ # Disque amovible # 14,92 Go (2,31 Mo free) # FAT32
# I:\ # Disque amovible # 7,47 Go (92,25 Mo free) [CLEF 8G] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\floren\AppData\Roaming |

################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |

Corrompu : C:\Program Files\Ubisoft\Registeregister.exe
[Offset = 000000CC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navw32.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\NAV\External\NORTON\APP\Navwnt.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App
isoptui.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\App\osCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Setup\Setup\PIF_96E2\PIFSvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccApp.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccEvtMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSetMgr.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\ccCommon\ccCommon\ccSvcHst.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\AUPDATE.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUALL.EXE
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LUCheck.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\LuConfig.EXE
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\LUpdate\WLUEX\NotifyHA.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\Remover\Remover.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\SwSetup\Inetsec\Support\uiNPC\uiNPC\NPC\isUAC.exe
[Offset = 000000EC - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.017 ! |

woolff · Answer

au fait a 70% , QGREP de recherche.... c'est affiché et je voudrais savoir qu'est-ce que c'est et si je devais fermer le programme oou choisir de rechercher une solution en ligne ulterieurement

Lyonnais92 · Answer

Bonjour,

il faut que tu réinstalles les applications dont au moins un des fichiers est corrompu (par Bagle).

woolff · Answer

ok mais peux-tu m'expliquer ce etape par etape parce que la je comprend pas des masse

woolff · Answer

quand tu me dis qu'il faut que tu réinstalles les applications dont au moins un des fichiers est corrompu (par Bagle), est-ce que tu peux le dire de quelles applic. il s'agit? enfin essaye d'éclairer ma lanterne parce que...et comment faire aussi
a+

Lyonnais92 · Answer

Re,

pour l'essentiel, il s'agit de Norton.

Comme tu as changé d'antivirus, essaye le désinstallateur :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

L'autre est l'exécutif d'enregistrement auprès de Ubisoft.

Désinstaller et réinstaller un jeu Ubisoft devrait suffire.

woolff · Answer

ok! et sinon pour "winupgro" que findykill supprime a chaque fois que je le passe, je le vire comment?

Lyonnais92 · Answer

Re,

Quand tu auras désinstallé Norton et traité Ubisoft, fais redémarrer l'ordi et refais tourner FindyKill.

woolff · Answer

salut

j'ai fais un scan avec avira et ça ma donné :

fichier ->Contient le modele de detection de l'application APPL/ACLSet ->C:\HP\HPQWare\EasySetup\SetACL.exe

et

fichier ->Contient le modele de detection de l'application APPL/KillApp.A->C:\HP\BIN\EndProcess.exe

Lyonnais92 · Answer

Bonjour,

tu peux me donner la date d'installation de ces fichiers sur ton ordi ?

Je pense que ce sont des faux positifs.

Accessoirement, Antivir est réglé comment ?

woolff · Answer

->C:\HP\HPQWare\EasySetup\SetACL.exe   ->14/11/2009
->C:\HP\BIN\EndProcess.exe                      ->25/10/2009

c'est ce qu'il y a d'écrit dans le rapport de quarantaine d'Avira

et que veux-tu dire quand "Avira est réglé comment? parce que je l'ai installé en mode "normal"si je puis dire

Lyonnais92 · Answer

Re,

au vu de ça : https://www.broadcom.com/ 99% que le fichier soit sain.

Pour vérifier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\HP\HPQWare\EasySetup\SetACL.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

woolff · Answer

salut 

c'est bizard ils ne sont plus là donc j'ai refais un scan et il y a juste 2 avertissement

je t'envoi quand meme le rapport



Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 15 novembre 2009  02:57

La recherche porte sur 1903267 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista
Version de Windows      : (Service Pack 2)  [6.0.6002]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : O

Informations de version :
BUILD.DAT               : 9.0.0.70      18071 Bytes  25/09/2009 12:03:00
AVSCAN.EXE              : 9.0.3.7      466689 Bytes  23/10/2009 20:26:26
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.4.132   5707264 Bytes  24/06/2009 20:26:24
ANTIVIR2.VDF            : 7.1.6.222   5998592 Bytes  11/11/2009 13:43:07
ANTIVIR3.VDF            : 7.1.6.235    129536 Bytes  13/11/2009 01:57:16
Version du moteur       : 8.2.1.65 
AEVDF.DLL               : 8.1.1.2      106867 Bytes  23/10/2009 20:26:26
AESCRIPT.DLL            : 8.1.2.44     586107 Bytes  06/11/2009 20:38:50
AESCN.DLL               : 8.1.2.5      127346 Bytes  23/10/2009 20:26:26
AERDL.DLL               : 8.1.3.2      479604 Bytes  23/10/2009 20:26:26
AEPACK.DLL              : 8.2.0.3      422261 Bytes  05/11/2009 20:50:43
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/10/2009 20:26:25
AEHEUR.DLL              : 8.1.0.180   2093432 Bytes  06/11/2009 20:38:24
AEHELP.DLL              : 8.1.7.0      237940 Bytes  23/10/2009 20:26:25
AEGEN.DLL               : 8.1.1.74     364917 Bytes  14/11/2009 13:43:08
AEEMU.DLL               : 8.1.1.0      393587 Bytes  23/10/2009 20:26:25
AECORE.DLL              : 8.1.8.2      184694 Bytes  05/11/2009 20:48:09
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  23/10/2009 20:26:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  23/10/2009 20:26:24
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : dimanche 15 novembre 2009  02:57

La recherche d'objets cachés commence.
'100919' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vlc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTCOMModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OraConfigRecover.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CoreCom.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ConnectivityManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Deskboard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SystrayApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WiFiMsg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AlertModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApMsgFwd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Launcher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmdSync.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAAnotif.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqWmiEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TUProgSt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'70' processus ont été contrôlés avec '70' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '41' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <PRESARIO_RP>


Fin de la recherche : dimanche 15 novembre 2009  04:41
Temps nécessaire:  1:43:35 Heure(s)

La recherche a été effectuée intégralement

  25722 Les répertoires ont été contrôlés
 423212 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 423210 Fichiers non infectés
   3434 Les archives ont été contrôlées
      2 Avertissements
      1 Consignes
 100919 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Pb avec winupgro

69 réponses

Newsletters