Espace disque dur qui se reduit ??? [Fermé]

Signaler
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
-
 Utilisateur anonyme -
Bonjour,
depuis quelques jours, j'ai mon espace sur C: qui se reduit "tout seul"... alors que je ne telecharge rien de particuliers dessus (je download sur D:)...
Je suspect une infection quelconque.
Pouvez vous m'aider a nettoyer tout cela svp?
Merci de votre aide.


31 réponses


bonsoir

un peu de concrêt :

* Télécharge ici : USBFIX sur ton bureau



/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt



Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 83875 internautes nous ont dit merci ce mois-ci


Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Documents and Settings\All Users\Application Data\Activ Software\ActivApplications\ActivFocusHook.dll



* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

ensuite :


▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 83875 internautes nous ont dit merci ce mois-ci

Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
suis sous windows XP.
Je demandais surtout une aide a coup de highjack et autres outils bien utiles mais dont j'ignore l'usage !
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
petite precision : je n'ai plus que 235 Mo de libre sur C: (!!) alors que j'avais encore 3 Go ces derniers jours!
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
merci gen hackman (lol)

voici le rapport :

############################## | UsbFix 7.021 | [Recherche]

Utilisateur: Eric (Administrateur) # BUREAUERIC [ ]
Mis à jour le 20/08/10 par El Desaparecido / C_XX
Lancé à 01:31:10 | 22/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 50 Go (2 Go libre(s) - 5%) [Systeme] # NTFS
D:\ -> Disque fixe # 248 Go (109 Go libre(s) - 44%) [Données] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 2 Go (239 Mo libre(s) - 12%) [] # FAT
H:\ -> Disque amovible # 8 Go (5 Go libre(s) - 62%) [PHILIPS UFD] # NTFS

################## | Éléments infectieux |


################## | Registre |

Présent! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS
Présent! HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS
Présent! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic (clic droit "en tant qu'administrateur" pour Vista/7)sur le raccourci UsbFix présent sur ton bureau

▶ Au menu principal choisis l'option ( Suppression ) et tape sur [entrée]

▶ Ton bureau disparaitra UsbFix scannera ton pc , laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
abs6587
Messages postés
279
Date d'inscription
dimanche 29 novembre 2009
Statut
Membre
Dernière intervention
23 avril 2013
3
le grand gen est sur tous les fronts ce soir
allez!!!continue ainsi
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
hop, le nouveau rapport

(entre temps, j'ai virer 2.5Go de films qui etaient la AVANT que le probleme surgisse, d'ou l'espace indiqué sur C:/)



############################## | UsbFix 7.021 | [Suppression]

Utilisateur: Eric (Administrateur) # BUREAUERIC [ ]
Mis à jour le 20/08/10 par El Desaparecido / C_XX
Lancé à 01:44:19 | 22/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 50 Go (3 Go libre(s) - 5%) [Systeme] # NTFS
D:\ -> Disque fixe # 248 Go (109 Go libre(s) - 44%) [Données] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 2 Go (239 Mo libre(s) - 12%) [] # FAT
H:\ -> Disque amovible # 8 Go (5 Go libre(s) - 62%) [PHILIPS UFD] # NTFS

################## | Éléments infectieux |


################## | Registre |

Non supprimé ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS
Non supprimé ! HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS
Non supprimé ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

################## | Mountpoints2 |


################## | Listing |

[03/07/2009 - 14:01:55 | SHD ] C:\#GDATA.Trash.Store#
[08/07/2010 - 22:34:49 | D ] C:\32Red Rummy
[21/08/2010 - 23:00:46 | A | 144856] C:\aaw7boot.log
[05/08/2010 - 15:35:10 | D ] C:\archive_db
[03/07/2009 - 12:09:33 | A | 0] C:\AUTOEXEC.BAT
[23/07/2010 - 14:39:34 | RSH | 228] C:\boot.ini
[14/04/2008 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[31/08/2009 - 19:29:02 | D ] C:\Brother
[03/07/2009 - 12:09:33 | A | 0] C:\CONFIG.SYS
[03/07/2009 - 12:33:09 | A | 86] C:\CSB.LOG
[29/03/2010 - 10:17:31 | D ] C:\Documents and Settings
[26/08/2009 - 15:45:20 | D ] C:\EDT 2009
[11/08/2010 - 16:07:59 | D ] C:\Games
[08/03/2010 - 22:03:11 | D ] C:\HMArchive
[03/07/2009 - 12:09:33 | RASH | 0] C:\IO.SYS
[09/09/2009 - 15:28:28 | D ] C:\MicroGaming
[03/07/2009 - 12:09:33 | RASH | 0] C:\MSDOS.SYS
[03/07/2009 - 16:32:33 | RHD ] C:\MSOCache
[14/04/2008 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | RASH | 252240] C:\ntldr
[03/08/2010 - 22:07:54 | A | 209604] C:\OngameGrab.txt
[21/08/2010 - 23:00:46 | ASH | 2145386496] C:\pagefile.sys
[13/08/2010 - 18:41:26 | D ] C:\Poker
[13/08/2010 - 22:34:34 | RD ] C:\Program Files
[22/08/2010 - 01:45:06 | SHD ] C:\RECYCLER
[03/07/2009 - 12:33:07 | A | 429] C:\RHDSetup.log
[08/07/2010 - 22:35:11 | D ] C:\Rummy Royal
[28/11/2009 - 13:18:09 | RD ] C:\Sandbox
[03/07/2009 - 12:11:40 | SHD ] C:\System Volume Information
[09/03/2010 - 00:25:39 | D ] C:\Temp
[22/08/2010 - 01:45:06 | D ] C:\UsbFix
[22/08/2010 - 01:45:06 | A | 1011] C:\UsbFix.txt
[01/09/2009 - 08:25:35 | D ] C:\Wcharly
[22/08/2010 - 01:01:06 | D ] C:\WINDOWS
[03/07/2009 - 14:01:55 | SHD ] D:\#GDATA.Trash.Store#
[03/07/2009 - 14:40:33 | D ] D:\6eb8ab622ecb5c404fba79345b471f
[16/09/2009 - 11:36:19 | D ] D:\AlerteGPS
[16/01/2010 - 20:02:03 | D ] D:\Any Video Converter
[26/12/2009 - 10:17:24 | D ] D:\AVSVideoConverter6
[02/09/2009 - 17:09:32 | D ] D:\CamStudio
[22/08/2010 - 01:00:16 | D ] D:\CCleaner
[03/03/2010 - 20:44:13 | D ] D:\DAEMON Tools Lite
[03/03/2010 - 22:19:09 | D ] D:\Dicobat
[14/02/2010 - 15:25:49 | D ] D:\emulation
[04/11/2009 - 16:50:51 | D ] D:\extract
[01/11/2009 - 11:25:19 | D ] D:\extract fifa 10
[21/04/2010 - 17:34:27 | D ] D:\films
[06/08/2010 - 08:57:13 | D ] D:\Free Disc Burner
[06/08/2010 - 08:40:49 | D ] D:\Free DVD Video Burner
[06/04/2010 - 22:34:43 | D ] D:\GigaTribe
[02/04/2010 - 20:46:20 | D ] D:\Google Desktop Data
[05/08/2010 - 15:36:42 | D ] D:\Hard Disk Manager 2010 Professional
[12/08/2010 - 15:49:30 | D ] D:\Holdem Manager
[09/03/2010 - 09:27:50 | D ] D:\Hollywood Poker Tournament Clock
[07/01/2010 - 16:39:42 | D ] D:\hp-tournament-clock
[03/04/2010 - 14:39:47 | D ] D:\Inspire
[23/01/2010 - 15:22:37 | D ] D:\ipod touch
[20/03/2010 - 16:32:02 | D ] D:\IRAI
[27/05/2010 - 18:40:28 | D ] D:\iTunes
[11/08/2010 - 16:07:58 | D ] D:\jeux
[17/03/2010 - 20:31:32 | D ] D:\Machcet
[08/05/2010 - 14:19:29 | HD ] D:\msdownld.tmp
[27/12/2009 - 19:24:55 | D ] D:\musique
[02/06/2010 - 22:07:33 | D ] D:\Nvu
[24/05/2010 - 19:42:38 | D ] D:\outils WW
[20/12/2009 - 14:35:22 | D ] D:\petits jeux
[15/07/2009 - 14:42:39 | D ] D:\PhotoFiltre
[27/02/2010 - 17:08:51 | D ] D:\photos italie
[13/01/2010 - 20:01:45 | D ] D:\PokerStove
[14/08/2009 - 01:28:32 | D ] D:\popopop player
[29/09/2009 - 18:46:18 | D ] D:\PRONOTE 2009
[09/03/2010 - 09:27:49 | D ] D:\QuickMediaConverter
[28/02/2010 - 22:31:09 | D ] D:\RealVNC
[22/08/2010 - 01:45:06 | SHD ] D:\RECYCLER
[06/12/2009 - 19:26:57 | D ] D:\Revo Uninstaller
[19/08/2010 - 13:54:43 | D ] D:\rooms poker
[28/11/2009 - 13:16:15 | D ] D:\Sandboxie
[03/07/2009 - 14:15:58 | D ] D:\securité
[08/05/2010 - 14:44:25 | D ] D:\SitNGo Wizard
[05/01/2010 - 19:38:33 | D ] D:\Stanza
[25/12/2009 - 22:50:42 | D ] D:\SUPER
[09/03/2010 - 09:27:49 | D ] D:\SWF Opener
[05/08/2010 - 15:33:47 | SHD ] D:\System Volume Information
[20/08/2010 - 11:40:24 | D ] D:\techno
[21/08/2010 - 17:30:40 | D ] D:\telechargements
[04/11/2009 - 17:36:08 | D ] D:\temp
[07/01/2010 - 17:47:32 | D ] D:\The Tournament Director 1.3.5 b4
[03/04/2010 - 19:35:57 | D ] D:\TubeMaster++
[22/07/2010 - 18:32:53 | D ] D:\TuxPaint
[31/07/2010 - 13:38:47 | D ] D:\upload torrents
[13/08/2010 - 08:38:04 | D ] D:\uTorrent
[03/04/2010 - 16:21:27 | D ] D:\video capturées
[13/02/2010 - 12:35:01 | D ] D:\videos convertis
[03/04/2010 - 13:50:28 | D ] D:\YDI machcet
[31/03/2005 - 14:32:44 | A | 290816] G:\Decompression.exe
[31/03/2005 - 14:32:22 | A | 430080] G:\VirtualExpander.exe
[02/09/2009 - 16:04:10 | D ] G:\3e 2009 2010
[20/12/2007 - 10:57:44 | A | 850864] G:\évaluation projet d'etablissement 2004-2008.odt
[29/09/2009 - 10:07:08 | A | 5149024] G:\M-IR10SBWW-1005.0.isp
[14/01/2008 - 19:33:00 | A | 27648] G:\controle 2.pub
[12/02/2008 - 19:49:18 | A | 30208] G:\CV .doc
[12/02/2008 - 19:49:10 | A | 25088] G:\lettre motivation1.doc
[24/01/2008 - 16:18:46 | A | 21504] G:\lettre motivation.doc
[24/11/2009 - 17:00:34 | D ] G:\lettre DP3
[16/06/2008 - 14:39:24 | D ] G:\NOUVEAU PROJET ETABLISSEMENT 2008-2012
[21/07/2008 - 10:01:38 | A | 13460] G:\wifi ubuntu.odt
[24/03/2010 - 10:48:24 | D ] G:\Outlook Express
[19/01/2010 - 17:04:40 | D ] G:\ATICE
[22/07/2008 - 15:07:50 | A | 17461] G:\rapport1.odt
[09/10/2008 - 12:31:56 | A | 1880] G:\temp.cao
[14/10/2008 - 21:07:02 | D ] G:\progression
[06/01/2009 - 14:25:46 | A | 788472] G:\portail 1.JPG
[15/10/2008 - 21:45:56 | A | 2275] G:\cle word2007.txt
[04/03/2010 - 09:53:14 | A | 50688] G:\evaluationcahier.doc
[04/02/2009 - 15:06:50 | A | 9827724] G:\vtt.easm
[29/01/2007 - 21:33:44 | D ] G:\b2i
[26/10/2008 - 11:15:34 | D ] G:\Bejeweled 2 Deluxe 1.0
[01/11/2008 - 11:43:42 | RA | 2460371] G:\31-10-08 (4).JPG
[22/03/2009 - 22:28:52 | A | 11484] G:\commande 2009.xlsx
[14/12/2008 - 18:19:36 | D ] G:\dessins definition aero
[04/02/2009 - 14:57:04 | A | 3296687] G:\TrottinetteTS-v4.EASM
[24/03/2010 - 11:10:22 | D ] G:\ted4 a emporter
[14/01/2009 - 16:27:28 | A | 572416] G:\Livret formation TBI2.doc
[03/07/2009 - 21:42:22 | D ] G:\securité
[24/03/2009 - 12:34:44 | A | 22016] G:\artisans.xls
[20/09/2009 - 16:44:04 | A | 1027439] G:\Guide de téléchargement des ressources.pdf
[08/03/2009 - 21:20:56 | D ] G:\dessins aero
[16/03/2009 - 21:50:26 | D ] G:\TED 4e
[12/02/2007 - 18:19:06 | D ] G:\3e
[12/02/2007 - 22:10:42 | D ] G:\dp
[08/04/2009 - 14:38:30 | D ] G:\stage O et H
[12/05/2009 - 07:39:14 | D ] G:\photo andalousie
[21/01/2010 - 11:05:10 | A | 7240704] G:\planche energie 5e.pub
[26/05/2009 - 10:18:12 | A | 274432] G:\oraux_3e-1-.pub
[25/06/2009 - 16:09:26 | D ] G:\Stage ponts juin 5eme
[20/09/2009 - 16:44:16 | A | 2212358] G:\Guide de téléchargement ActivInspire.pdf
[18/01/2010 - 19:07:24 | D ] G:\5e colisee etc
[26/01/2010 - 16:47:48 | D ] G:\dp3 communaute communes
[22/04/2010 - 07:45:40 | D ] G:\pack polydis ponts
[09/03/2007 - 08:49:22 | A | 1522] G:\BOOTEX.LOG
[04/06/2007 - 19:23:04 | D ] G:\6e
[03/11/1999 - 13:08:24 | A | 98892] G:\CHARLY Standard.FNT
[23/06/2007 - 18:55:10 | A | 1124416] G:\install.exe
[02/10/2007 - 22:31:26 | D ] G:\tpsoliddebut
[23/11/2007 - 18:26:50 | D ] G:\Euro_2006
[23/11/2007 - 19:10:28 | D ] G:\collapse
[16/11/2009 - 18:27:25 | N | 13674] H:\bootex.log
[08/06/2007 - 17:25:00 | A | 3053080] H:\CarryItEasy.exe
[14/12/2008 - 15:56:04 | A | 7461564] H:\holdemmanager.zip
[14/12/2008 - 16:19:01 | D ] H:\postgresql
[14/12/2008 - 16:11:59 | D ] H:\Program Files
[29/07/2008 - 15:23:30 | A | 2511348] H:\User Manual UFD_Vivid edition.pdf

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
ok, voici les liens :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijLuVWcDy.txt

sauf erreur de ma part, je n'ai pas de fichier more.txt.
A noter que l'ordi a redemarrer tout seul a la fin du processus...

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
il me met qu'il ne trouve pas reboot.bat :(

execute ceci :

C:\Program Files\List_Kill'em\del_reg
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
voici le contenu du rapport :


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.3.2 ¤¤¤¤¤¤¤¤¤¤

User : Eric (Administrateurs)
Update on 21/08/2010 by g3n-h@ckm@n ::::: 14.00
Start at: 02:38:12 | 22/08/2010

Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 49,81 Go (2,53 Go free) [Systeme] | NTFS
D:\ -> Disque fixe local | 248,28 Go (109,14 Go free) [Données] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible | 1,89 Go (239,16 Mo free) | FAT
H:\ -> Disque amovible | 7,53 Go (4,65 Go free) [PHILIPS UFD] | NTFS


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----420 Ko
C:\WINDOWS\system32\csrss.exe ----5508 Ko
C:\WINDOWS\system32\winlogon.exe ----4300 Ko
C:\WINDOWS\system32\services.exe ----5720 Ko
C:\WINDOWS\system32\lsass.exe ----1912 Ko
C:\WINDOWS\system32\Ati2evxx.exe ----3344 Ko
C:\WINDOWS\system32\svchost.exe ----5300 Ko
C:\WINDOWS\system32\svchost.exe ----4552 Ko
C:\WINDOWS\System32\svchost.exe ----24928 Ko
C:\WINDOWS\system32\svchost.exe ----4368 Ko
C:\WINDOWS\system32\svchost.exe ----3896 Ko
C:\WINDOWS\system32\spoolsv.exe ----6324 Ko
C:\Program Files\Avira\AntiVir Desktop\sched.exe ----860 Ko
C:\WINDOWS\system32\Ati2evxx.exe ----3784 Ko
C:\WINDOWS\Explorer.EXE ----33796 Ko
C:\WINDOWS\RTHDCPL.EXE ----23240 Ko
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe ----4412 Ko
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe ----1584 Ko
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe ----2808 Ko
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe ----15308 Ko
C:\Program Files\Activ Software\Activdriver\ActivControl2.exe ----5836 Ko
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe ----228 Ko
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe ----6392 Ko
C:\WINDOWS\system32\ctfmon.exe ----3956 Ko
D:\Sandboxie\SbieCtrl.exe ----5904 Ko
C:\Program Files\Avira\AntiVir Desktop\avguard.exe ----18428 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----2656 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----3768 Ko
C:\WINDOWS\system32\FsUsbExService.Exe ----2700 Ko
C:\Program Files\Java\jre6\bin\jqs.exe ----1380 Ko
C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe ----5020 Ko
C:\Program Files\Activ Software\Activdriver\activmgr.exe ----9356 Ko
d:\Sandboxie\SbieSvc.exe ----2492 Ko
C:\Program Files\PostgreSQL\8.3\bin\postgres.exe ----8180 Ko
C:\WINDOWS\system32\svchost.exe ----5628 Ko
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe ----6336 Ko
d:\RealVNC\VNC4\WinVNC4.exe ----3536 Ko
C:\Program Files\PostgreSQL\8.3\bin\postgres.exe ----5192 Ko
C:\Program Files\PostgreSQL\8.3\bin\postgres.exe ----5600 Ko
C:\Program Files\PostgreSQL\8.3\bin\postgres.exe ----5380 Ko
C:\Program Files\PostgreSQL\8.3\bin\postgres.exe ----5528 Ko
C:\Program Files\PostgreSQL\8.3\bin\postgres.exe ----5232 Ko
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe ----5184 Ko
C:\WINDOWS\system32\wbem\wmiapsrv.exe ----4568 Ko
C:\WINDOWS\System32\alg.exe ----3600 Ko
C:\Documents and Settings\Eric\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----34296 Ko
C:\Documents and Settings\Eric\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----15140 Ko
C:\Documents and Settings\Eric\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----32384 Ko
C:\Documents and Settings\Eric\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----34848 Ko
C:\Documents and Settings\Eric\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----55188 Ko
C:\WINDOWS\system32\cmd.exe ----1896 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6844 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3788 Ko
C:\Program Files\List_Kill'em\pv.exe ----2792 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files\WinPCap
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\SET16B.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET16D.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET171.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET179.tmp
Quarantined & Deleted !! : C:\Documents and Settings\Eric\Application Data\Mikogo
Quarantined & Deleted !! : C:\Documents and Settings\Eric\Mes documents\Mikogo

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : "HKCU\Software\Grand Virtual"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : "HKLM\Software\Trymedia Systems"
Deleted : HKCR\ImageOle.GifAnimator
Deleted : HKCR\ImageOle.GifAnimator.1
Deleted : HKCR\interface\{0C1CF2DF-05A3-4FEF-8CD4-F5CFC4355A16}
Deleted : HKCR\Typelib\{710993A2-4F87-41D7-B6FE-F5A20368465F}
Deleted : HKLM\SOFTWARE\Classes\CLSID\{06ADA938-0FB0-4BC0-B19B-0A38AB17F182}
Deleted : "HKLM\software\Poker 770"
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_B-Service
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\B-Service
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_B-Service
Deleted : HKLM\SYSTEM\ControlSet002\Services\B-Service
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\NPF
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\ControlSet002\Services\NPF
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = http://www.google.com/
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 1 (0x1)
FirewallOverride = 1 (0x1)

========
Services
=========


============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spls.sys >>UNKNOWN [0x89D7F938]<<
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
gen hackman, merci de ton aide, et je te laisse repondre à ce dernier rapport.
Je vais me coucher, je ne tiens plus, je continuerai demain. Vers quelle heure penses tu etre la?
Encore merci.

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
voila le lien vers le rapport de virustotal :
http://www.virustotal.com/...

voici le rapport de ad-R.exe :


======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:33:04 le 22/08/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Eric@BUREAUERIC ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\Eric\Mes documents\PacificPoker
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\Interface\{FC2C9F12-26A2-11CF-A641-E996DF2C9318}
0,Clé supprimée: HKLM\Software\PopCap
0,Clé supprimée: HKCU\Software\pacificpoker
0,Clé supprimée: HKCU\Software\PartyGaming
0,Clé supprimée: HKCU\Software\Poker 770
0,Clé supprimée: HKCU\Software\pokerinstaller
0,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Documents and Settings\Eric\Application Data\Mozilla\FireFox\Profiles\0uzx5u8z.default\User.js --
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Documents and Settings\Eric\Application Data\Mozilla\FireFox\Profiles\0uzx5u8z.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 6 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/08/2010 (659 Octet(s))

Fin à: 13:34:40, 22/08/2010

============== E.O.F ==============

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge ici :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Messages postés
188
Date d'inscription
mercredi 19 avril 2006
Statut
Membre
Dernière intervention
12 février 2017
12
voici le rapport de malwarebytes :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4461

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/08/2010 14:43:19
mbam-log-2010-08-22 (14-43-19).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 270057
Temps écoulé: 40 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Poker\Chilipoker.fr\_SetupPoker.exe_796e99.exe (Adware.Casino) -> Quarantined and deleted successfully.

bien refais un scan OTL il me semble que tu as des restes de rogue
1 2