Infection win32Résolu/Fermé

Question

Bonjour,
mon anti-virus, Avast, a détecté plusieurs infections commençant toutes par "win32 :", je ne peux ni les supprimer ni les mettre en quarantaine. Il m'affiche me dit qu'il y a une erreure.

J'ai vu que plusieurs discussions étaient déjà ouverte pour ce sujet, mais qu'à chaque fois c'était des cas particuliers alors pouvez vous m'aidez s'il vous plait ?

Merci

sKe69 · Answer

Salut,



fait ceci pour avoir un diagnostique complet du PC :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

apo850 · Answer

voila le lien :
http://www.cijoint.fr/cjlink.php?file=cj200910/cij9eTOB6u.rtf

merci de ton aide!

sKe69 · Answer

re,


deux choses :


1- tu n'as pas fait le bon scan avec ZHPDiag ... c'est celui avec la loupe qui est en haut à gauche ! ...


2- merci de me faire parvenir le rapport en ".txt" ... ;)



donc recommence stp ....

apo850 · Answer

Oupsi je suis vraiment désolé!
j'ai recommencé et quand je fais charger le fichier le site me dit :"Les fichiers avec l'extension ne peuvent pas être déposés !"
alors je sais pas vraiment ce que ça veut dire, mais bon, j'ai copié le rapport et je l'ai mis sur word, j'ai recommencé le chargement sur le site est ça a marché il me donne : http://www.cijoint.fr/cjlink.php?file=cj200910/cij2CGkwTO.rtf 

et je comprend pas tu veux le rapport en .txt mais (je suis vraiment nulle en informatique desolé :p) tu veux que je copie/colle le rapport et que je te l'envoie c'est ça ? 
vraiment désolé pour mon non-savoir

Merci

sKe69 · Answer

en .txt :


lorsque tu sauvegardes le rapport , tu mets comme nom ceci ZHPDiag.txt ... ^^


j'analyse celui que tu viens de me donner et je te dis quoi faire ...

sKe69 · Answer

re,


je n'ai jamais vu autant d'infections !!!! 


ton Windows est légitimes ???

Ton systeme n'est pas à jours depuis 2001 ! ... donc bourré de faile de sécurité ....

On va essayer de faire quelque chose mais c'est pas gagné ...



/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



Commence par ceci dans l'ordre :


Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .
 
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif . 

Conseil : laisse ces paramètres par la suite ...


===========================


2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse et fait la suite ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


===========================

3- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
 
Utilisation ---> option 1 / Recherche : 
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
 
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

apo850 · Answer

Mon Windows est légitime mais c'est un vieil qui il n'a pas été utilisé pendant longtemps, j'essaie de le remettre sur pied (avec ton aide) pour pouvoir le réutiliser correctement (si c'est possible bien sur).


    Le 1er rapport TB.txt :

   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 1
   X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
   BIOS : Version 1.00                    
   USER : HBP ( Administrator )
   BOOT : Normal boot
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:37 Go (Free:30 Go)
   D:\ (Local Disk) - FAT32 - Total:3 Go (Free:2 Go)
   E:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 30/10/2009|18:49 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\SpamBlockerUtility\bin
   Supprime! - C:\Program Files\SpamBlockerUtility
   Supprime! - C:\Program Files\VSAdd-in

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Local Page"="C:\WINDOWS\System32\blank.htm"
   "Search Page"="http://searchbar.findthewebsiteyouneed.com"
   "Search Bar"="http://searchbar.findthewebsiteyouneed.com"
   "Default_Search_URL"="http://searchbar.findthewebsiteyouneed.com"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.google.fr/?gws_rd=ssl"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://searchbar.findthewebsiteyouneed.com"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   C:\WINDOWS\system32
onnn.bak1
   C:\WINDOWS\system32
onnn.bak2
   C:\WINDOWS\system32
onnn.ini
   C:\WINDOWS\system32
onnn.ini2
   C:\WINDOWS\system32
onnn.tmp
   [b]==> VUNDO <==/b
 
   --------------------\  ROGUES ..

   C:\DOCUME~1\HBP\APPLIC~1\SystemDoctor 2006 Free
   C:\PROGRA~1\SystemDoctor 2006 Free




   1 - "C:\ToolBar SD\TB_1.txt" - 30/10/2009|18:48 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 30/10/2009|18:50 - Option : [2]

   -----------\  Fin du rapport a 18:50:09,19





     Le 2nd rapport.txt :

SmitFraudFix v2.424

Rapport fait à 19:00:23,12, 30/10/2009
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\Atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Samsung\SmarThru\PORTCTRL.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\utilman.exe
C:\WINDOWS\System32	askmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\keyboard1.dat PRESENT !
C:\WINDOWS
ewname.dat PRESENT !
C:\WINDOWS	eller2.chk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HBP


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HBP\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HBP\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HBP\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="dxclib303562752.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\System32\userinit.exe,MS32.exe"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI 900 SiS - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



voila j'espère que j'ai bien fait ce que tu m'as dit.
Et comment est ce que je peux le mettre à jour (réparer les fails..) ?

Merci!

sKe69 · Answer

re,


on verra pour la mise à jour du systeme une fois le PC clean ... pas avant ! ...



on continue , dans l'ordre :


A- Suite de la manipe ( nettoyage ), fais exactement ce qui suit : 

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...
 
* Double-clique sur SmitfraudFix.exe 

* Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection. 

--> Si besion :

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. 

( Le correctif déterminera si le fichier wininet.dll est infecté.)
 
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée 
pour remplacer le fichier corrompu. 

* Un redémarrage sera demandé pour terminer la procédure de nettoyage . 
Si le redémarrage ne se fais pas , fais le manuellement ( c'est important ! ) . 

Le rapport se trouve à la racine de disque dur C  .
( dans le fichier C:\rapport.txt ) 

Poste moi ce dernier rapport pour analyse et fais la suite ... 


===============


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

apo850 · Answer

Le 1er rapport rapport.txt :

HKLM\SYSTEM\CCS\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




Le 2nd rapport  via cijoint :
http://www.cijoint.fr/cjlink.php?file=cj200910/cij1DlTJ75.txt


Merci

sKe69 · Answer

re,

il me manque tout le début du rapport de Smithfraudfix ! ... reposte le stp ...



ensuite fait ceci dans l'ordre :



A- -Télécharge SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
ou ici http://sdfix.net/SDFix.exe
 
--> Double-clique sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

 
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil . 
-->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier 
C:\SDFix sous le nom "Report.txt".

Poste ce dernier dans ta prochaine réponse pour analyse ... 


==========================


B- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

apo850 · Answer

Re,
je me disais bien que le rapport de Smithfraudfix était court mais c'est tout ce qu'il y a d'enregistré dans C:\rapport.txt mais bon je le refais, fais le reste des manip' que tu viens de me dire et t'envoie les rapport.


Merci.

apo850 · Answer

voila le rapport normalement il est complet la :

SmitFraudFix v2.424

Rapport fait à 18:09:51,62, 31/10/2009
Executé à partir de C:\Documents and Settings\HBP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{145664A2-AD22-4948-9C79-9B46A74E7983}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


je n'ai pas besoin de refaire le scan avec ZHPDiag ??



Je fais la manip' avec SDFix, refais le scan ZHPDiag et te l'envoie.

sKe69 · Answer

re,

Je fais la manip' avec SDFix, refais le scan ZHPDiag et te l'envoie.


oki ... ^^


j'attends les rapports ...

apo850 · Answer

Report :


[b]SDFix: Version 1.240 [/b]
Run by HBP on 31/10/2009 at 18:25

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
cmdService
Network Monitor

[b]Path [/b]:
C:\WINDOWS\QnJhYyBkZSBsYSBwZXJyaWVyZQ\command.exe 
C:\Program Files\Network Monitor
etmon.exe service

cmdService - Deleted
Network Monitor - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found




Folder C:\Program Files\InetGet2 - Removed
Folder C:\Program Files\Network Monitor - Removed
Folder C:\Documents and Settings\LocalService\Application Data\NetMon - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-31 18:34:47
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 23 Nov 2006       599,142 ..SH. --- "C:\WINDOWS\system32
onnn.tmp"
Wed 22 Nov 2006       589,713 ..SH. --- "C:\WINDOWS\system32
onnn.bak1"
Tue 21 Aug 2007       721,010 ..SH. --- "C:\WINDOWS\system32
onnn.bak2"
Mon 22 Jul 2002       418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 19 Jul 2002       390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 19 Jul 2002       574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Tue 20 Aug 2002       430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Tue 23 Jul 2002       390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 22 Nov 2002       399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 19 Jul 2002       388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 19 Jul 2002       388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Mon  2 Dec 2002       431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 19 Jul 2002       388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Sat 13 Nov 2004        37,376 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

[b]Finished![/b]




scan ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj200910/cij9eY9Q1G.txt


voila
attend tes instructions :)

Merci

sKe69 · Answer

Re,


on continue ... dans l'ordre :



1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=========================

2- Télécharge Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

apo850 · Answer

Quand je répare toutes les erreurs avec CCleaner il me demande :
"Voulez-vous vréer une sauvegarde des des clés du registre qui vont être supprimés ? (Pour restaurer les clés supprimées, double-cliquez sur le fichier .reg ainsi créé et cliquez sur Oui dans la boite de dialogue qui s'ouvrira).
Qu'est ce que je répond Oui ou Non (ou Annuler) ?

apo850 · Answer

Et puis tu me dis de faire "un examen dit "RAPIDE" " mais dans ton tuto (https://forum.pcastuces.com/sujet.asp?f=31&s=3 il est dit d' "Exécuter un examen complet" ?!
Je fais comme tu m'a dit l'examen rapide je suppose
c'est juste une vérification pour ne pas me tromper.

Merci

apo850 · Answer

Quand je répare toutes les erreurs avec CCleaner il me demande :
"Voulez-vous créer une sauvegarde des des clés du registre qui vont être supprimés ? (Pour restaurer les clés supprimées, double-cliquez sur le fichier .reg ainsi créé et cliquez sur Oui dans la boite de dialogue qui s'ouvrira)  ?"

Qu'est ce que je répond Oui ou Non (ou Annuler) ?

apo850 · Answer

Le rapport de Malwarebytes' :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3070
Windows 5.1.2600 Service Pack 1

31/10/2009 19:37:20
mbam-log-2009-10-31 (19-37-20).txt

Type de recherche: Examen rapide
Eléments examinés: 91043
Temps écoulé: 5 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\udcpchk.udcpchk (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\udcpchk.udcpchk.1 (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5954b2db-09a7-4023-847c-107539dc560d} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{4f43b1f3-0ce8-493b-96d2-990cec05edbb} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{46a4e9d9-b30e-452a-8157-dbbec8573b03} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cf46bfb3-2acc-441b-b82b-36b9562c7ff1} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\aldd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CAC (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SpamBlockerUtility (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\HBP\Application Data\searchtoolbarcorp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\searchtoolbarcorp\Toolbar Vision (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\SystemDoctor 2006 Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\SystemDoctor 2006 Free\Logs (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\SystemDoctor 2006 Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\deskbar_e53.exe (Malware.Packer.T) -> Quarantined and deleted successfully.
C:\dfndrff_e70.exe (Malware.Packer.T) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YRYWYSGJ\deskbar_e[1].exe (Malware.Packer.T) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\searchtoolbarcorp\Toolbar Vision\PageHistory.txt (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\searchtoolbarcorp\Toolbar Vision\WebHistory.txt (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\SystemDoctor 2006 Free\Logs\update.log (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\SystemDoctor 2006 Free\lock.dat (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\HBP\Application Data\Dxcknwrd.dll (Trojan.Agent) -> Quarantined and deleted successfully.



Et le rapport de ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj200910/cijGYMzR4g.txt

sKe69 · Answer

bien ....


on avance .... mais reste encore du boulot ! ....



fais ceci maintenant :


1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .


=====================


2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

apo850 · Answer

Le rapport usbfix :


############################## | UsbFix V6.046 |

User : HBP (Administrateurs) # HENRI
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:37:44 | 31/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Duron(tm) Processor
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,26 Go (30,91 Go free) # NTFS
D:\ -> Disque fixe local # 4 Go (2,97 Go free) [WIN98] # FAT32
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\Atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |



Tout ce que tu viens de me faire faire a t il effacé win32 ?
Merci

sKe69 · Answer

re,


c'est clean au niveau infection par support amovible ...


Tes "win32" comme tu les appelles , y en reste encore pas mal .... ;)




fais ce qui suit dans l'ordre :


1- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://cjoint.com/data/kFwFElp26n.htm


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 
=========================================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération  sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses .

 
Poste le rapport Combofix pour analyse et attends la suite ...

apo850 · Answer

Re,

Le ZHPFix Report :


ZHPFix v1.12.20  by Nicolas Coolman - Rapport de suppression du 01/11/2009 11:28:42
Fichier Registre : C:\ZHPExportRegistry-01-11-2009-11-28-27.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
c:
etcfg.exe  => Fichier absent
C:\WINDOWS\antivirus32_dll.exe  => Fichier absent
C:\WINDOWS\System32\irdvxc.exe  => Fichier absent
C:\WINDOWS\windowsvalidation.exe  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: Print Spooler Service (a0yj1iaaevnbua) - c:
etcfg.exe /service  => Clé supprimée avec succès
O23 - Service: antivirus32_dll.exe (antivirus32_dll.exe) - C:\WINDOWS\antivirus32_dll.exe  => Clé supprimée avec succès
O23 - Service: Network helper Service (MSDisk) - C:\WINDOWS\System32\irdvxc.exe" /service  => Clé supprimée avec succès
O23 - Service: windowsvalidation.exe (windowsvalidation.exe) - C:\WINDOWS\windowsvalidation.exe  => Clé supprimée avec succès
O64 - Services: CurCS - Print Spooler Service (a0yj1iaaevnbua) - LEGACY_A0YJ1IAAEVNBUA  => Clé supprimée avec succès
O64 - Services: CurCS - antivirus32_dll.exe (antivirus32_dll.exe) - LEGACY_ANTIVIRUS32_DLL.EXE  => Clé supprimée avec succès
O64 - Services: CurCS - Network helper Service (MSDisk) - LEGACY_MSDISK  => Clé supprimée avec succès
O64 - Services: CurCS - windowsvalidation.exe (windowsvalidation.exe) - LEGACY_WINDOWSVALIDATION.EXE  => Clé supprimée avec succès
O64 - Services: CS002 - Print Spooler Service (a0yj1iaaevnbua) - LEGACY_A0YJ1IAAEVNBUA  => Clé supprimée avec succès
O64 - Services: CS002 - Network helper Service (MSDisk) - LEGACY_MSDISK  => Clé supprimée avec succès
O64 - Services: CS002 - No object (No service) - LEGACY_WINIO  => Clé supprimée avec succès
O23 - Service: Print Spooler Service (a0yj1iaaevnbua) - c:
etcfg.exe /service  => Clé absente
O23 - Service: antivirus32_dll.exe (antivirus32_dll.exe) - C:\WINDOWS\antivirus32_dll.exe  => Clé absente
O23 - Service: Network helper Service (MSDisk) - C:\WINDOWS\System32\irdvxc.exe" /service  => Clé absente
O23 - Service: windowsvalidation.exe (windowsvalidation.exe) - C:\WINDOWS\windowsvalidation.exe  => Clé absente
O64 - Services: CurCS - Print Spooler Service (a0yj1iaaevnbua) - LEGACY_A0YJ1IAAEVNBUA  => Clé absente
O64 - Services: CurCS - antivirus32_dll.exe (antivirus32_dll.exe) - LEGACY_ANTIVIRUS32_DLL.EXE  => Clé absente
O64 - Services: CurCS - Network helper Service (MSDisk) - LEGACY_MSDISK  => Clé absente
O64 - Services: CurCS - windowsvalidation.exe (windowsvalidation.exe) - LEGACY_WINDOWSVALIDATION.EXE  => Clé absente
O64 - Services: CS002 - Print Spooler Service (a0yj1iaaevnbua) - LEGACY_A0YJ1IAAEVNBUA  => Clé absente
O64 - Services: CS002 - Network helper Service (MSDisk) - LEGACY_MSDISK  => Clé absente
O64 - Services: CS002 - No object (No service) - LEGACY_WINIO  => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,MS32.exe,  => Donnée supprimée avec succès
O20 - AppInit_DLLs: dxclib303562752.dll  => Donnée supprimée avec succès

Dossier :
C:\Program Files\DeluxeCommunications  => Supprimé et mis en quarantaine
C:\Program Files\Deskbar  => Supprimé et mis en quarantaine
C:\Program Files\ipwins  => Dossier absent
C:\Program Files\DeluxeCommunications  => Dossier absent
C:\Program Files\Deskbar  => Dossier absent

Fichier :
dxclib303562752.dll  => Fichier absent
c:
etcfg.exe  => Fichier absent
c:\windows\antivirus32_dll.exe  => Fichier absent
c:\windows\system32\irdvxc.exe  => Fichier absent
c:\windows\windowsvalidation.exe  => Fichier absent
c:\windows\system32\mecprcfd.ini  => Supprimé et mis en quarantaine
c:\windows\system32
onnn.ini2 (Trojan.Vundo)   => Supprimé et mis en quarantaine
C:\WINDOWS\System32
onnn.bak1 (Trojan.Vundo)   => Supprimé et mis en quarantaine
C:\WINDOWS\System32
onnn.bak2 (Trojan.Vundo)   => Supprimé et mis en quarantaine
c:\windows\firewall32.exe  => Supprimé et mis en quarantaine
c:\windows\aio.exe  => Fichier absent
c:\windows\system32	mp.reg  => Supprimé et mis en quarantaine
c:\windows\system32	mp.txt  => Supprimé et mis en quarantaine
c:\windows\system32\mecprcfd.ini  => Fichier absent
c:\windows\system32
onnn.ini2  => Fichier absent
c:\windows\firewall32.exe  => Fichier absent
c:\windows\system32	mp.reg  => Fichier absent
c:\windows\system32	mp.txt  => Fichier absent

Logiciel :
O42 - Logiciel: IpWins  => Logiciel absent
O42 - Logiciel: IpWins  => Clé supprimée avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 4
Module mémoire : 0
Clé du Registre : 22
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 5
Fichier : 18
Logiciel : 2
Autre : 0


End of the scan



Pour le rapport C:\Combofix.txt j'ai eu un problème, après m'être déconnecter pour lancer ComboFix, il m'est impossible de me reconnecter pour installer la Console de Récupération! Lorsque je veux activer mon réseau, l'ordinateur cherche et fini par affiché echec connexion! Malgrès plusieurs tentatives il ne veut pas se connecter!! Seulement quand je quitte ComboFix l'accès à internet m'est possible.
Que dois-je faire ???

Merci de ta réponse

apo850 · Answer

Le rapport Combo :

ComboFix 09-10-30.01 - HBP 01/11/2009 13:23.1.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.1.1252.33.1036.18.255.54 [GMT 1:00]
Lancé depuis: c:\documents and settings\HBP\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\HBP\Application Data\Dxcdmns.dll
c:\documents and settings\HBP\Application Data\Dxcuknwrd.dll
c:\documents and settings\HBP\err.log
c:\progra~1\FICHIE~1\{B04A4~1
c:\windows\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\uvwvw.ini
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-10-01 au 2009-11-01  ))))))))))))))))))))))))))))))))))))
.

2009-10-31 19:33 . 2009-10-31 19:39	--------	d-----w-	C:\UsbFix
2009-10-31 18:06 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-31 18:06 . 2009-09-10 13:53	18520	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-31 18:06 . 2009-10-31 18:06	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-10-31 17:58 . 2009-10-31 17:58	--------	d-----w-	c:\program files\CCleaner
2009-10-31 17:05 . 2009-10-31 17:35	--------	d-----w-	C:\SDFix
2009-10-31 16:20 . 2009-09-15 11:54	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-10-31 16:20 . 2009-09-15 11:54	52368	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-10-31 16:20 . 2009-09-15 11:53	27408	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-10-31 16:20 . 2009-09-15 11:53	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-10-31 16:20 . 2009-09-15 11:55	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-10-31 16:20 . 2009-09-15 11:56	93424	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-10-31 16:20 . 2009-09-15 11:56	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-10-31 16:19 . 2009-09-15 11:59	1279968	----a-w-	c:\windows\system32\aswBoot.exe
2009-10-31 15:42 . 2009-10-31 15:42	--------	d-----w-	c:\documents and settings\HBP\Application Data\Malwarebytes
2009-10-31 15:42 . 2009-10-31 15:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-30 17:47 . 2009-10-30 17:50	--------	d-----w-	C:\ToolBar SD
2009-10-30 15:17 . 2009-11-01 10:28	--------	d-----w-	c:\program files\ZHPDiag
2009-10-30 13:28 . 2009-10-30 13:28	--------	d-----w-	c:\windows\ERUNT
2009-10-29 16:57 . 2009-10-29 16:57	--------	d-----w-	c:\program files\Alwil Software
2009-10-29 16:45 . 2009-10-29 16:45	0	----a-w-	c:\windows
sreg.dat
2009-10-29 16:45 . 2009-10-29 16:45	--------	d-----w-	c:\documents and settings\HBP\Local Settings\Application Data\Mozilla

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-31 17:34 . 2001-08-28 14:00	48616	----a-w-	c:\windows\system32\perfc00C.dat
2009-10-31 17:34 . 2001-08-28 14:00	367658	----a-w-	c:\windows\system32\perfh00C.dat
2009-10-30 17:45 . 2006-11-23 10:28	104542	----a-w-	c:\windows\aio.exe.exe
2009-10-29 19:22 . 2006-11-22 14:25	104525	----a-w-	C:\money.exe
2009-10-29 17:24 . 2003-01-20 23:17	--------	d-----w-	c:\program files\Sierra On-Line
2009-10-29 17:18 . 2003-01-20 23:03	--------	d-----w-	c:\program files\ATI Multimedia
2006-11-23 12:19 . 2006-11-23 12:19	599142	--sh--w-	c:\windows\system32
onnn.tmp
.

------- Sigcheck -------



[-] 2002-12-17 17:45 . 4A38A7A585EED0EBA03EA025A82DAC04 . 52736 . . [9.0.1.56] . . c:\windows\system32\mspmsnsv.dll

c:\windows\system32\wscntfy.exe ... manque !!
c:\windows\system32\xmlprov.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\program files\CCleaner\ccleaner.exe" [2009-10-22 1700664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"GW Port Controller"="c:\program files\Samsung\SmarThru\PORTCTRL.EXE" [2003-06-03 163840]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-09-15 81000]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"AtiPTA"="Atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2001-02-22 192512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31/10/2009 17:20 114768]
R3 ati2mpab;ati2mpab;c:\windows\system32\drivers\ati2mpab.sys [23/02/2001 08:23 293344]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - CLASSPNP_2
*NewlyCreated* - MBR
*NewlyCreated* - PCIIDEX_2
*NewlyCreated* - SISPORT
*Deregistered* - CLASSPNP_2
*Deregistered* - mbr
*Deregistered* - PCIIDEX_2
*Deregistered* - SiSPort
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\webelated.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {00330010-0000-0000-0000-000020160026} - hxxp://207.234.185.217/installer/ABoxInst_int26.exe
FF - ProfilePath - c:\documents and settings\HBP\Application Data\Mozilla\Firefox\Profiles\xzd74vs4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{656C7496-781A-4440-BA52-51DAB0B6DD22} - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-01 13:29
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????F? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(540)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(608)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2009-11-01 13:30
ComboFix-quarantined-files.txt  2009-11-01 12:30

Avant-CF: 33 109 848 064 octets libres
Après-CF: 33 086 656 512 octets libres

winxpsp1_fr_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect

- - End Of File - - 3A313E1EBF067FCBFB25C54F54C0AEB3

apo850 · Answer

Est ce que c'est encore long ? parce que je vais peut être laissé tomber si c'est trop long et trop compliquer..
Enfin dit moi quand m^me ce que dois-je faire ensuite s'il te plait ?

Merci

sKe69 · Answer

re,

faut pas abendonner maintenant ! .... on a fait le plus dure ! .... ^^

As tu le CD de Windows original ? ...




fait ceci maintenant :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
c:\windows\aio.exe.exe 

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\money.exe 
c:\windows\system32
onnn.tmp 

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...


=================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

apo850 · Answer

Oula mon CD de Windows original, je crois que je l'ai perdu.. :(
Cela va t il rendre impossible le reste des manip' ??

Rapport du fichier c:\windows\aio.exe.exe  :

	Fichier aio.exe.exe reçu le 2009.11.01 16:01:39 (UTC)
	Situation actuelle: terminé
	Résultat: 1/40 (2.50%)

Antivirus 	     Version 	     Dernière mise à jour 	 Résultat
a-squared 	        4.5.0.41 	                2009.11.01 	      -
AhnLab-V3 	5.0.0.2 	        2009.10.30 	              -
AntiVir 	        7.9.1.53 	                2009.10.30 	      -
Antiy-AVL         	2.0.3.7 	        2009.10.30 	              -
Authentium 	5.1.2.4 	        2009.10.31 	              -
Avast 		4.8.1351.0 	2009.11.01 	              -
AVG 		        8.5.0.423 	        2009.11.01 	              -
BitDefender 	7.2 		        2009.11.01 	              -
CAT-QuickHeal 	10.00 		2009.10.31 	              -
ClamAV 		0.94.1 		2009.11.01 	              -
Comodo 		2805 		2009.11.01 	              -
DrWeb 		5.0.0.12182 	2009.11.01 	              -
eSafe 		7.0.17.0 	        2009.11.01                      -
eTrust-Vet 	35.1.7094 	        2009.10.30 	              -
F-Prot 		4.5.1.85 	        2009.10.31 	              -
F-Secure 	        9.0.15370.0 	2009.10.30 	              -
Fortinet 	        3.120.0.0 	        2009.11.01 	              -
GData 		19 		        2009.11.01 	              -
Ikarus 		T3.1.1.72.0 	2009.11.01 	              -
Jiangmin 	        11.0.800 	        2009.11.01 	              -
K7AntiVirus 	7.10.885 	        2009.10.31 	              -
Kaspersky 	        7.0.0.125 	        2009.11.01 	              -
McAfee	 	5788 		2009.10.31 	              -
McAfee+Artemis 5788 	        2009.10.31 	              -
McAfee-GW-Edition 6.8.5 	        2009.11.01 	              -
Microsoft 	        1.5202 		2009.11.01 	              -
NOD32 		4562 		2009.11.01 	              -
nProtect 	        2009.1.8.0 	2009.11.01 	              -
Panda 		10.0.2.2        	2009.11.01 	              -
PCTools 	        7.0.3.5 	        2009.10.30 	              -
Prevx 		3.0 		        2009.11.01 	              -
Rising 		21.53.62.00 	2009.11.01 	              -
Sophos 		4.47.0 		2009.11.01 	              -
Sunbelt 	        3.2.1858.2 	2009.11.01 	          Backdoor.Win32.Prorat.s
Symantec 	        1.4.4.12 	        2009.11.01 	              -
TheHacker 	6.5.0.2.058 	2009.10.31 	              -
TrendMicro 	8.950.0.1094 	2009.11.01 	              -
VBA32 		3.12.10.11 	2009.10.30 	              -
ViRobot 	   2009.10.31.2015     2009.10.31 	              -
VirusBuster 	4.6.5.0 	        2009.10.31 	              -



Information additionnelle
File size: 104542 bytes
MD5   : 755949f3de3b1f5caa041bee9d58cd12
SHA1  : 6afab9bea1314a902a0e6059f71550c79fbe58a2
SHA256: 3040fc1f57b98eca5be71493d084cae00391c77be6355867e654d8666025ceba
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x45084BDE (Wed Sep 13 20:20:14 2006)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13000 0x12E00 6.47 1d4618da7a4f5e7c206b4514d99c02cc
.data 0x14000 0x7000 0xA00 4.76 030369e9393240e022bc421ed04dc685
.idata 0x1B000 0x1000 0x1000 5.05 c274ffd22986d8fbe298e4856812e616
.rsrc 0x1C000 0x4000 0x3C00 4.59 9ad436b47cd2be62e6aaa82236e585ee

( 8 imports )

> advapi32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> comctl32.dll: -
> comdlg32.dll: CommDlgExtendedError, GetOpenFileNameA
> gdi32.dll: DeleteObject
> kernel32.dll: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> ole32.dll: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize
> shell32.dll: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> user32.dll: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA

( 0 exports )
TrID  : File type identification
WinRAR Self Extracting archive (95.7%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Win32 Executable Watcom C++ (generic) (0.4%)
Generic Win/DOS Executable (0.3%)
ssdeep: 1536:MkcUv9Wrw3h3FA2BJskRMbBLBZCx5ywyTjcol97NKRxWMZvbNV5LtL3HVqXU4z6M:1d9xR3G2BZMbBLBaYw0coLujNH1HVw
PEiD  : -
packers (F-Prot): RAR
RDS   : NSRL Reference Data Set
-



Rapport du fichier C:\money.exe  :

	Fichier money.exe reçu le 2009.11.01 16:04:24 (UTC)
	Situation actuelle: terminé
	Résultat: 1/41 (2.44%)


Antivirus 	                  Version 	        Dernière mise à jour         	Résultat
a-squared 	                  4.5.0.41 	             2009.11.01 	                     -
AhnLab-V3 	          5.0.0.2 	             2009.10.30 	                     -
AntiVir 	                  7.9.1.53 	             2009.10.30 	                     -
Antiy-AVL 	                  2.0.3.7 	             2009.10.30 	                     -
Authentium 	          5.1.2.4 	             2009.10.31 	                     -
Avast 	                  4.8.1351.0 	     2009.11.01 	                     -
AVG 		                  8.5.0.423 	     2009.11.01 	                     -
BitDefender 	          7.2 		             2009.11.01 	                     -
CAT-QuickHeal 	         10.00 		     2009.10.31                        -
ClamAV 		         0.94.1 		     2009.11.01 	                     -
Comodo 		         2805 		     2009.11.01                        -
DrWeb 		         5.0.0.12182 	     2009.11.01 	                     -
eSafe 		         7.0.17.0 	             2009.11.01 	                     -
eTrust-Vet 	         35.1.7094 	     2009.10.30                        -
F-Prot 		         4.5.1.85 	             2009.10.31 	                     -
F-Secure 	                 9.0.15370.0 	     2009.10.30 	                     -
Fortinet 	                 3.120.0.0 	             2009.11.01         	             -
GData 		         19 		             2009.11.01 	                     -
Ikarus 		         T3.1.1.72.0 	     2009.11.01  	                     -
Jiangmin 	                 11.0.800          	     2009.11.01 	                     -
K7AntiVirus 	         7.10.885 	             2009.10.31 	                     -
Kaspersky 	                 7.0.0.125 	             2009.11.01 	                     -
McAfee 		         5788 		     2009.10.31               	     -
McAfee+Artemis 	 5788 		     2009.10.31 	                     -
McAfee-GW-Edition     6.8.5 	             2009.11.01 	                     -
Microsoft 	                1.5202 		     2009.11.01 	                     -
NOD32 		        4562 		     2009.11.01 	                     -
Norman 		        6.03.02 	             2009.11.01 	                     -
nProtect 	                2009.1.8.0 	     2009.11.01 	                     -
Panda 		        10.0.2.2 	             2009.11.01 	                     -
PCTools 	                7.0.3.5 	             2009.10.30 	                     -
Prevx 		        3.0 		             2009.11.01 	                     -
Rising 		        21.53.62.00 	     2009.11.01 	                     -
Sophos 		        4.47.0 		     2009.11.01 	                     -
Sunbelt 	                3.2.1858.2 	     2009.11.01 	            Backdoor.Win32.Prorat.s
Symantec   	        1.4.4.12 	             2009.11.01 	                     -
TheHacker 	        6.5.0.2.058 	     2009.10.31 	                     -
TrendMicro 	        8.950.0.1094 	     2009.11.01 	                     -
VBA32 		        3.12.10.11 	     2009.10.30 	                     -
ViRobot                2009.10.31.2015 	     2009.10.31 	                     -
VirusBuster 	        4.6.5.0 	             2009.10.31 	                     -


Information additionnelle

File size: 104525 bytes
MD5   : da039f55eb8edec79760f855f6a5e807
SHA1  : 5b833713da7482c888ec90591fb2b0c1f1f56693
SHA256: 0a875d67ab21c29af7b9edafa098718243bb053008c513d33ab08cbab4363188
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x45084BDE (Wed Sep 13 20:20:14 2006)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13000 0x12E00 6.47 1d4618da7a4f5e7c206b4514d99c02cc
.data 0x14000 0x7000 0xA00 4.76 030369e9393240e022bc421ed04dc685
.idata 0x1B000 0x1000 0x1000 5.05 c274ffd22986d8fbe298e4856812e616
.rsrc 0x1C000 0x4000 0x3C00 4.59 9ad436b47cd2be62e6aaa82236e585ee

( 8 imports )

> advapi32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> comctl32.dll: -
> comdlg32.dll: CommDlgExtendedError, GetOpenFileNameA
> gdi32.dll: DeleteObject
> kernel32.dll: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> ole32.dll: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize
> shell32.dll: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> user32.dll: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA

( 0 exports )
TrID  : File type identification
WinRAR Self Extracting archive (95.7%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Win32 Executable Watcom C++ (generic) (0.4%)
Generic Win/DOS Executable (0.3%)
ssdeep: 1536:MkcUv9Wrw3h3FA2BJskRMbBLBZCx5ywyTjcol97NKRxWMZvbNV5LtL3HVqXU4z6b:1d9xR3G2BZMbBLBaYw0coLujNH1HVv
PEiD  : -
packers (F-Prot): RAR
RDS   : NSRL Reference Data Set
-



Rapport du fichier c:\windows\system32
onnn.tmp :

	Fichier nonnn.tmp reçu le 2009.11.01 16:12:25 (UTC)
	Situation actuelle: terminé
	Résultat: 0/41 (0.00%)

Antivirus 	                       Version 	             Dernière mise à jour           Résultat
a-squared 	                       4.5.0.41 		            2009.11.01 		          -
AhnLab-V3 	               5.0.0.2 		            2009.10.30 		          -
AntiVir 	                       7.9.1.53 		            2009.10.30 		          -
Antiy-AVL 	                       2.0.3.7 		            2009.10.30 		          -
Authentium 	               5.1.2.4 		            2009.10.31 		          -
Avast  		               4.8.1351.0 		            2009.11.01 		          -
AVG 		                       8.5.0.423 		            2009.11.01 		          -
BitDefender 	               7.2 			            2009.11.01 		          -
CAT-QuickHeal 	              10.00 			            2009.10.31 		          -
ClamAV 		              0.94.1 			    2009.11.01 		          -
Comodo 		              2805 			            2009.11.01 		          -
DrWeb 		              5.0.0.12182 		    2009.11.01 		          -
eSafe 		              7.0.17.0 		            2009.11.01 		          -
eTrust-Vet 	              35.1.7094 		            2009.10.30 		          -
F-Prot 		              4.5.1.85 		            2009.10.31 		          -
F-Secure 	                      9.0.15370.0 		    2009.10.30 		          -
Fortinet 	                      3.120.0.0 		            2009.11.01 		          -
GData 		              19 			            2009.11.01 		          -
Ikarus 		              T3.1.1.72.0 		            2009.11.01 		          -
Jiangmin 	                      11.0.800 		            2009.11.01 		          -
K7AntiVirus 	              7.10.885 		            2009.10.31 		          -
Kaspersky 	                      7.0.0.125 		            2009.11.01 		          -
McAfee 		             5788 			            2009.10.31 		          -
McAfee+Artemis 	     5788 			            2009.10.31 		          -
McAfee-GW-Edition         6.8.5 		                    2009.11.01 		          -
Microsoft 	                    1.5202 			            2009.11.01 		          -
NOD32 		            4562 			            2009.11.01 		          -
Norman 		            6.03.02 		                    2009.11.01 		          -
nProtect 	                    2009.1.8.0 		            2009.11.01 		          -
Panda 		            10.0.2.2 		            2009.11.01 		          -
PCTools 	                    7.0.3.5 		                    2009.10.30 		          -
Prevx 		            3.0 			            2009.11.01 		          -
Rising 		            21.53.62.00 		            2009.11.01 		          -
Sophos 		            4.47.0 			            2009.11.01 		           -
Sunbelt 	                    3.2.1858.2 		            2009.11.01 		          -
Symantec 	                    1.4.4.12 		            2009.11.01 		          -
TheHacker 	            6.5.0.2.058 		            2009.10.31 		          -
TrendMicro 	            8.950.0.1094 		           2009.11.01 		          -
VBA32 		            3.12.10.11 		           2009.10.30 		          -
ViRobot 	                    2009.10.31.2015 	           2009.10.31 		          -
VirusBuster 	            4.6.5.0 		                   2009.10.31 		          -


Information additionnelle

File size: 599142 bytes
MD5   : 8e1cf0af47d39082c4d44e563ce48776
SHA1  : 9c481a78e718937af3847742c5fceb6e6800ae7f
SHA256: ff54aeae69bd0d63bf6d82e724dad8225ef2f8e4712d34f37b213160fb4fcd32
TrID  : File type identification
OpenGL object (29.2%)
Lotus 123 Worksheet (generic) (14.6%)
HSC music composer song (9.2%)
Game Music Creator Music (8.2%)
MacBinary 1 header (7.5%)
ssdeep: 3::
PEiD  : -
RDS   : NSRL Reference Data Set
-


Le rapport de ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj200911/cijkCGluYq.txt 

Et après ? :)

sKe69 · Answer

bien ....


Cela va t il rendre impossible le reste des manip' ?? 

non ... mais il sera peut-être nécessaire de "réparer" quelques secteur de Windows .... on fera autrement ...


On a bien avancé ! ....



Fais ceci maintenant :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
c:\windows\aio.exe.exe 
C:\money.exe

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2009_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

apo850 · Answer

Rapport OTM :

All processes killed
========== FILES ==========
c:\windows\aio.exe.exe moved successfully.
C:\money.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: HBP
->Temp folder emptied: 7137576 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 49096378 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 65670 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1100105 bytes
%systemroot%\System32 .tmp files removed: 602214 bytes
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_46c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 55,36 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 11012009_184014

Files moved on Reboot...
File C:\WINDOWS	emp\_avast4_\Webshlock.txt not found!
C:\WINDOWS	emp\Perflib_Perfdata_46c.dat moved successfully.

Registry entries deleted on Reboot...


Et après ? :)

sKe69 · Answer

up ...


je ne vois pas ta réponse ... ^^'

sKe69 · Answer

vu


dis moi comment va le PC maintenant ... du mieux ?


puis fait ceci dans l'ordre :



1- Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe 

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ... 


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .


=========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Aides en images (Installation)   : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche)    : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

sKe69 · Answer

grrr , c'est pénible ....



la suite est juste au dessus .... ^^'

apo850 · Answer

GenProc :

Rapport GenProc 2.640 [1] - 01/11/2009 à 19:54:09 
@ Windows XP Service Pack 1 - Mode normal
@ Mozilla Firefox (3.5.4) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
 
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 
- Brute Force Uninstaller http://merijn.geekstogo.com/files/bfu.zip (Merijn) et décompresse-le sur ton bureau.
 Fais un clic droit de souris sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu, que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** HBP *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

 Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître. Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu : clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler. Clique sur OK, puis exit pour fermer le programme BFU. Recommence encore une fois.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Un nouveau rapport HijackThis https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.640 01/11/2009 à 19:54:26 
Winsoftware:le 01/11/2009 à 19:55:12 "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\U*_*_*NetInstaller.exe" 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 19:55:33 ~~ 



L'ordi va beaucoup mieux j'ai l'impression!

Merci beaucoup!! mais je quitte la maison où est l'ordinateur donc je continuerai Ad-remover et les autres choses à faire plus tard. Mais l'ordi est déjà dans un meilleur état et je te remercie de la patience et du temps que tu as pris pour m'aider!

apo850 · Answer

Et est ce que je peux désinstaller tout les fichiers, applications et logiciels que tu m'as fait installer (à part CCleaner et Malwarebytes') ?? Ou est ce que j'en aurais besoin plus tard pour continuer le nettoyage et les mises à jours ??

Encore merci!

Infection win32

34 réponses

Discussions similaires

Newsletters