virus surabayaFermé

Question

Bonjour, 

Une amie m'a confié son pc, à son demarrage il m'affiche le fameux message de surabaya in my birthday.
impossible d'installer les antivirus (je dispose de Fsecure), ni d'executer les fichers .exe, ni d'ouvrir ccleaner, et encore moins de demarrer en mode sans echec.
Même l'acces à internet est parfois bloqué( je poste de mon propre pc), sa config xp familial.
Merci de votre  aide.

Configuration: Windows XP / Internet Explorer 8.0

ep44 · Answer

Bonjour, 

Commence par ceci 

&#9674;&#9674;&#9674; Télécharge OTL sur ton Bureau. &#9674;&#9674;&#9674;

       &#9830; Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
       &#9830; Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
       &#9830; Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
       &#9830; Sous la zone Personnalisation, copie/colle ceci :

    netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT




      &#9830;Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
       &#9830; Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
       &#9830; Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

Utiliser http://www.cijoint.fr/index.php   pour poster les rapports.
Merci

abdou12 · Answer

Merci je l'ai lancé sur le pc Malade je vous tiendrais au courant.

abdou12 · Answer

j'ai deposé le premier ficher 
http://www.cijoint.fr/cjlink.php?file=cj201007/cijMAvdw8e.txt

abdou12 · Answer

le deuxieme

http://www.cijoint.fr/cjlink.php?file=cj201007/cijzj5N6sp.txt

abdou12 · Answer

Merci de votre aide

abdou12 · Answer

vous avez  recu mes fichers ?
Merci de votre réponse

ep44 · Answer

Très infection en vue 

fait ce qui stp   

&#9830; Relance OTL.exe. 

&#9830; Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas): 


:OTL 
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe ()      
O33 - MountPoints2\{3da28bde-f474-11dc-b61b-00166f962b45}\Shell\AutoRun\command - "" = F:\RavMon.exe -- File not found      
O33 - MountPoints2\{3da28bde-f474-11dc-b61b-00166f962b45}\Shell\explore\Command - "" = F:\RavMon.exe -- File not found      
O33 - MountPoints2\{3da28bde-f474-11dc-b61b-00166f962b45}\Shell\open\Command - "" = F:\RavMon.exe -- File not found      
O33 - MountPoints2\{87ae7130-f9dc-11dc-b61f-00166f962b45}\Shell\AutoRun\command - "" = F:\RavMon.exe -- File not found      
O33 - MountPoints2\{87ae7130-f9dc-11dc-b61f-00166f962b45}\Shell\explore\Command - "" = F:\RavMon.exe -- File not found      
O33 - MountPoints2\{87ae7130-f9dc-11dc-b61f-00166f962b45}\Shell\open\Command - "" = F:\RavMon.exe -- File not found      
O33 - MountPoints2\{b8335982-5743-11dd-b633-00166f962b45}\Shell\AutoRun\command - "" = J:\RavMon.exe -- File not found      
O33 - MountPoints2\{b8335982-5743-11dd-b633-00166f962b45}\Shell\explore\Command - "" = J:\RavMon.exe -- File not found      
O33 - MountPoints2\{b8335982-5743-11dd-b633-00166f962b45}\Shell\open\Command - "" = J:\RavMon.exe -- File not found      
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\RavMon.exe -- File not found      
O33 - MountPoints2\H\Shell\explore\Command - "" = H:\RavMon.exe -- File not found      
O33 - MountPoints2\H\Shell\open\Command - "" = H:\RavMon.exe -- File not found      
[2008/12/22 16:04:46 | 000,319,019 | RHS- | M] () -- C:\e8kj.exe      

:Commands 
[emptytemp] 
[start explorer] 
[Reboot] 

&#9830; Puis clique sur le bouton Correction en haut de la fenêtre. 
&#9830; Laisse le programme travailler, redémarre une fois le fix terminé. 
&#9830; Enfin, poste un nouveau log OTL2  (cette fois, ne coche pas les cases LOP Check et Purity). 


Ensuite  


&#9674;&#9674;&#9674; Télécharge USBFIX sur ton bureau 
&#9674;&#9674;&#9674;  
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe  
ou ici :  
https://www.ionos.fr/?affiliate_id=77097  

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir  
 
&#9830; Double clic sur le raccourci UsbFix présent sur ton Bureau .  
&#9830; Choisis l'option 2 (Suppression)  
&#9830; Laisse travailler l'outil.  
&#9830; Ensuite post le rapport UsbFix.txt qui apparaîtra.  
&#9830; Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )  
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  
&#9830; Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  


&#9830; Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html  
  

Ce n'est pas finit :) 


&#9674;&#9674;&#9674; Télécharge  Ccleaner 
&#9674;&#9674;&#9674;

&#9830; Aide toi de ce tuto pour l'utiliser  
http://www.swl1f.net/viewtopic.php?f=14&t=69 




&#9674;&#9674;&#9674; Télécharge Malwarebytes 
&#9674;&#9674;&#9674;

Une aide pour l'installation  
http://www.swl1f.net/viewtopic.php?f=14&t=68 


&#9830; Installe le  
&#9830; Lance malwarebytes 
&#9830; Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour 
&#9830; Coche "Exécuter un examen complet" 
&#9830; Si tu es en présence d'une infection à la fin de l'examen clique sur "ok" 
&#9830; Clique sur Supprimer la sélection 
&#9830; Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir 
&#9830; Fait copier coller et poste le rapport  

Utiliser http://www.cijoint.fr/index.php  pour poster les rapports. 
Merci  

C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

abdou12 · Answer

Ci joint le rapport otl2
http://www.cijoint.fr/cjlink.php?file=cj201007/cij79VnkJp.txt

Meic pour l'assistance

abdou12 · Answer

je n'ai pas de clé usb ou DDR externe, j'ai lancé usbfix qui reste bloqué à 48%.
est ce que je peux le fermer et passer étape suivante?

Merci

abdou12 · Answer

Usb debloqué ci joint rapport

http://www.cijoint.fr/cjlink.php?file=cj201007/cijyisLkCR.txt

abdou12 · Answer

Excusez moi, il est impossible de lancer ccleaner, il se ferme aussitot.
Que faire?

Merci

abdou12 · Answer

merci de me venir en aide je suis bloqué
J'ai lancé malwarebytes qui a trouvé 3 infections, mais toujours impossible de lancer ccleaner, ni demarrer en mode sans echec

ep44 · Answer

Poste le rapport de Malwarebytes et fait ce qui suit 

&#9674;&#9674;&#9674; Télécharge ZHPDiag de Nicolas Coolman&#9674;&#9674;&#9674;

&#9830; Sauvegarde-le sur le Bureau.

&#9830; Double-clique sur ZHPDiag.exe afin de lancer ZHPDiag.
&#9830; Coche toutes les options et clique sur le bouton Lancer le diagnostic.
&#9830; Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat de droite.
  &#9830; Clique sur le bouton Sauvegarder le fichier sous et valide ZHPDiag.Txt, si tu souhaites le conserver.
 &#9830; Copie le résultat dans le Presse-Papier de Windows.
  &#9830; Colle le résultat dans le forum avec ta prochaine réponse.


Utiliser http://www.cijoint.fr/index.php   pour poster les rapports.
Merci

abdou12 · Answer

merci
je le lane et vous tiens au courant

abdou12 · Answer

Ci joint le lien pour le rapport 
Merci encore pour votre assistance

http://www.cijoint.fr/cjlink.php?file=cj201007/cijiwyW0Ok.txt

abdou12 · Answer

Pardon ci joint le rapport de malwarebyte

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4314

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15/07/2010 15:48:29
mbam-log-2010-07-15 (15-48-29).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 163723
Temps écoulé: 17 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:\WINDOWS\Temp\winupwyd.exe (Trojan.Downloader) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\winupwyd.exe (Trojan.Downloader) -> No action taken.

abdou12 · Answer

Pas de solution pour moi?

Merci de votre aide

ep44 · Answer

Bonsoir, 

Très bien fait ce qui suit stp 

&#9830; Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix.
&#9830; Ensuite clique sur le H "Coller les lignes Helper"
&#9830; Copie colle ces lignes dans la fenêtre


[MD5.E491D25D82F4928138A0D8B3A6365C39] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\TEMP\winupwyd.exe   [8704]
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\amvo.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\amvo.exe       => Infection Diverse  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wingdmuo.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wingdmuo.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\windmsmrh.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\windmsmrh.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winibnhm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winibnhm.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wintighs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wintighs.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wingjvoei.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wingjvoei.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkvwhu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkvwhu.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winjimihk.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winjimihk.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkjeuo.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkjeuo.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winmbwxi.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winmbwxi.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkwxwng.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkwxwng.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winmtrspj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winmtrspj.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winhbwpm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winhbwpm.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winqhcn.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winqhcn.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winerscby.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winerscby.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winumke.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winumke.exe  
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\reg.exe" [Enabled] .(.Microsoft Corporation - Outil de Registre de la console.) (.not file.) -- C:\WINDOWS\system32\reg.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winupuyi.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winupuyi.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winwhkse.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winwhkse.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winekgrh.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winekgrh.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winjouel.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winjouel.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winhdaw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winhdaw.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winskiyk.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winskiyk.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winmlsvsc.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winmlsvsc.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkmip.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winkmip.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winqxljc.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winqxljc.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winasswkg.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winasswkg.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wineenver.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\wineenver.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winsaob.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winsaob.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winehqibg.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winehqibg.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winycgnwr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winycgnwr.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winimmpa.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winimmpa.exe  
 O47 - AAKE:Key Export SP - "C:\Documents and Settings\Marie Zim\Bureau\ccsetup233.exe" [Enabled] .(.Piriform Ltd - CCleaner Installer.) (.not file.) -- C:\Documents and Settings\Marie Zim\Bureau\ccsetup233.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winfmwfdx.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winfmwfdx.exe  
 O47 - AAKE:Key Export SP - "C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winfemsup.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MARIEZ~1\LOCALS~1\Temp\winfemsup.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wineseoes.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wineseoes.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winmouq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winmouq.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wintsovc.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wintsovc.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winepffyp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winepffyp.exe  
 O47 - AAKE:Key Export SP - "C:\Documents and Settings\Marie Zim\Bureau\UsbFix.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\Marie Zim\Bureau\UsbFix.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\wincexui.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\wincexui.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winepfapr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winepfapr.exe  
 O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\winupwyd.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\winupwyd.exe  



&#9830;Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer"
ZHPFix va générer un rapport, envoie le pour vérification.

Utiliser http://www.cijoint.fr/index.php  pour poster les rapports.
Merci 

Ensuite 

&#9674;&#9674;&#9674; Télécharge TFC par OldTimersur ton Bureau &#9674;&#9674;&#9674;
&#9830; Fait un double clic sur TFC.exe pour le lancer. (Note: Si vous êtes sous Vista, faites un clic droit sur le fichier et choisissez "Exécuter en tant qu'Administrateur").
&#9830; L'outil va fermer tous les programmes  lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
&#9830; Clique sur le bouton Start pour lancer le processus.
 &#9830; Selon la fréquence à laquelle tu supprime tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.  Laisse le programme s'exécuter sans l'interrompre.
&#9830; Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, il faut faire redémarrer manuellement le PC toi-même pour terminer le nettoyage.


redémarre ton PC est dit moi comment il va 

@+

abdou12 · Answer

Ci joint le rappot du diag
Merci encore

http://www.cijoint.fr/cjlink.php?file=cj201007/cijWXut7Wu.txt

abdou12 · Answer

Au momment de redémarrage du pc apres lancement de tfc une fenetre est apparue avec un message type " l'ordinateur doit etre arrete .......... action dictée par autorité systeme " avec un compte a rebours  est ce normal ou un autre virus?

apres le démarrage  le pc a procedé a une vérification du systeme et a signalé une entrée tronquée.

l'icone  ccleaner  me dit raccourci manquant ! 

je vais reinstaller et voir


Merci du temps qui m'est accordé

abdou12 · Answer

Reninstallation de ccleaner et fsecure , lancement toujours impossible.
De même  démarrage en mode sans echec impossible, un ecran bleu avec écriture, ca défile vite j'arrive pas à lire ce qui est ecrit ( j'ai vu le mot virus et plein de 00000000


Merci de l'assistance

adou12 · Answer

Bonsoir

Plus d'aide?

Je pense que c'est bon pour un formatage, à moin que...

ep44 · Answer

Bonsoir, 

Je travaille tôt le matin et pas de bonheur le soir :)
Je ne peux te donner réponse en journée.

Pour la suite fait ce qui suit :

  &#9674; &#9674; &#9674; Télécharge Combofix depuis l'un des liens ci-dessous: &#9674; &#9674; &#9674;

      Lien 1
      Lien 2

      &#9830; IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

    &#9830; Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

    &#9830; Fait un double clic sur combofix.exe et suit les invites.

    &#9830; Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.

 &#9830; Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

     &#9674; &#9674;  Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

&#9830; Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

&#9830; Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.

abdou12 · Answer

Merci de votre assistance
Désolé j'avais un probleme de liaison interent, mon fournisseur vient juste de me la réparer.
Je me demande s'il est toujours possible de continuer  le traitement de mon cas.

Voici le rapport de combofix
et merci encore

ComboFix 10-08-15.04 - Marie Zim 16/08/2010  15:16:05.1.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1014.660 [GMT 2:00]
Lancé depuis: c:\documents and settings\Marie Zim\Bureau\ComboFix.exe
AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Explorer\iexplore.exe.tmp
c:\program files\WinPCap
c:\program files\WinPCap\daemon_mgm.exe
c:\program files\WinPCap
pf_mgm.exe
c:\program files\WinPCappcapd.exe
c:\windows\system32\drivers
pf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AIC32P
-------\Service_aic32p
-------\Service_amsint32
-------\Service_NPF


(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-16 au 2010-08-16  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-15 20:34 . 2010-07-15 20:34	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-07-15 20:34 . 2010-07-15 20:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-07-15 19:22 . 2010-07-15 19:22	--------	d-----w-	c:\program files\ToniArts
2010-07-15 19:22 . 2010-07-15 19:22	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-07-15 19:22 . 2010-07-15 19:22	503808	----a-w-	c:\documents and settings\Marie Zim\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dd43e23-n\msvcp71.dll
2010-07-15 19:22 . 2010-07-15 19:22	499712	----a-w-	c:\documents and settings\Marie Zim\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dd43e23-n\jmc.dll
2010-07-15 19:22 . 2010-07-15 19:22	348160	----a-w-	c:\documents and settings\Marie Zim\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-2dd43e23-n\msvcr71.dll
2010-07-15 19:22 . 2010-07-15 19:22	61440	----a-w-	c:\documents and settings\Marie Zim\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4b0b4461-n\decora-sse.dll
2010-07-15 19:22 . 2010-07-15 19:22	12800	----a-w-	c:\documents and settings\Marie Zim\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4b0b4461-n\decora-d3d.dll
2010-07-15 19:21 . 2010-07-15 19:21	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-15 19:21 . 2010-07-15 19:21	--------	d-----w-	c:\program files\Java
2010-07-15 18:56 . 2006-01-06 15:16	82870	----a-w-	c:\windows\system32\perfc00C.dat
2010-07-15 18:56 . 2006-01-06 15:16	489442	----a-w-	c:\windows\system32\perfh00C.dat
2010-07-15 13:10 . 2010-07-15 13:10	--------	d-----w-	c:\program files\ZHPDiag
2010-07-14 19:03 . 2010-07-14 19:03	--------	d-----w-	c:\documents and settings\Marie Zim\Application Data\Malwarebytes
2010-07-14 19:03 . 2010-07-14 19:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-14 19:03 . 2010-07-14 19:03	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-14 18:47 . 2010-07-14 18:47	--------	d-----w-	c:\program files\CCleaner
2010-07-13 21:54 . 2010-07-13 21:54	--------	d-----w-	c:\program files\Fichiers communs\PC Tools
2010-07-13 21:54 . 2010-07-13 21:54	--------	d-----w-	c:\documents and settings\All Users\Application Data\TEMP
2010-07-13 17:20 . 2006-01-06 04:30	76507	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-12 20:44 . 2010-07-12 20:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\fssg
2010-07-12 20:44 . 2010-07-12 20:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\F-Secure
2010-07-12 20:44 . 2010-07-12 20:44	--------	d-----w-	c:\program files\F-Secure
2010-06-14 14:31 . 2004-08-05 03:00	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\HelpSvc.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-11-09 3084288]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-10-19 131072]
"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-11-25 274432]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 458752]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-18 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-18 114688]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-18 94208]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2005-12-01 520192]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-31 208896]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-02-24 159744]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-16 15600128]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 309992]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-01-07 753755]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-01-07 163931]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /p \??\F:\0autocheck autochk *

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkbMonitor.exe.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkbMonitor.exe.lnk
backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"XCOMM"=2 (0x2)
"VSSERV"=2 (0x2)
"LIVESRV"=2 (0x2)
"bdss"=2 (0x2)
"RichVideo"=2 (0x2)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"AWService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Acer\Acer Arcade\PCMService.exe"=
"c:\acer\Empowering Technology\ePower\epm-dm.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Documents and Settings\Marie Zim\Bureau\OTL.exe"=
"c:\Program Files\Intel\Wireless\Bin\EvtEng.exe"=

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\Drivers\e4ldr.sys --> c:\windows\system32\Drivers\e4ldr.sys [?]
S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\DRIVERS\e4usbaw.sys --> c:\windows\system32\DRIVERS\e4usbaw.sys [?]
S3 fsbl;F-Secure BlackLight Engine Driver;c:\program files\F-Secure\Anti-Virus\fsbldrv.sys [15/07/2010 20:32 19456]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - AIC32P
.
.
------- Examen supplémentaire -------
.
IE: &Sample Toolband Serach - c:\windows\system32\ToolBand.dll/MENUSEARCH.HTM
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - c:\program files\Wanadoo\GestMaj.exe
HKLM-Run-BDAgent - c:\program files\Softwin\BitDefender10\bdagent.exe
HKLM-Run-BDMCon - c:\program files\Softwin\BitDefender10\bdmcon.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-16 15:22
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3476)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Heure de fin: 2010-08-16  15:24:50 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-08-16 13:24

Avant-CF: 30 662 393 856 octets libres
Après-CF: 30 641 487 872 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - D6470360CCC452DC7EB462BD6A7C456D

Virus surabaya

24 réponses

Discussions similaires

Newsletters