Sujet Précédent Sujet Suivant

Supprimer virus thinkpoint

Résolu/Fermé
francky - 19 oct. 2010 à 13:26
 FAMIENDAV - 6 sept. 2012 à 18:24
Bonjour,



voila je viens d etre infecté par thinkpoint sur un site de streaming.
celui ci m empeche d aller sur le net,d ouvrir mon gestionnaire etc;;;
je ne peux plus rien faire.
voici la seul solution qui me fait avancer:
http://deletemalware.blogspot.com/2010/10/how-to-remove-thinkpoint-uninstall.html
mon probléme est que j ai besoin d ouvrir le gestionnaire de tache tres rapidement pour contrer le virus.
la ou ca bloque c est que je peux ouvrir mon gestionnaire ou faisant clique droit sur la petite fleche en bas a droite ou meme dans la barre de tache mais il me faut absolument alt/ctrl/sup pour etre rapide mais celui ci ne fonctionne pas.
est que quelqu un a une solution pour rendre actif la manip alt/ctrl/sup.
je vous rappel que je n ai du coup plus accés au net.
merci de votre aide
A voir également:

92 réponses

Précédent
Réponse 21 / 92
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
Modifié par benurrr le 20/10/2010 à 22:12
du coup ton pc a quoi comme symptôme ?

DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)

Télécharge ici :List_Kill'em de gen-hackman

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


et enregistre le sur ton bureau

windows 7 => clic droit "exécuter en tant que administrateur

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Exécuter List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agrée"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

------ NE LE POSTE PAS SUR LE FORUM-------

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\List'em.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
0
Réponse 22 / 92
francky
20 oct. 2010 à 22:28
ok merci.
les symptomes:
suite a tes conseils j ai redémaré le pc.
il a fermé a une vitesse normal et c est reouvert aussi facilement donc c est super.
maintenant mon prob c est que je me retrouve sur mon bureau.
sur le bureau je peux ouvrir mes doc,programme,je peux aller dans poste travail etc...
mais dés que je met la souris dans la barre de tache en bas de l ecran j ai le sablIer.
si je clic sur internet ou gestionnaire des taches,la il se bloque pendant un bon moment.
une piste qui me semble etrange c est que la petite musique d ouverture de windows arrive 15 minutes environ apres l ouverture de windows et c est a ce moment la que je peux acceder a ma barre de tache.
je v ais sur le net avec un second petit pc portable car sur l autre c est trop long.
les manips sont assez longues car j ai dois attendre un bon moment avant de pouvoir utiliser mon pc et je ne veux pas squatter toute ta soirée.
en tout cas tu es bien courageux et c est vraiment sympas de ta part.
je vais suivre tes instructions a te repondre au plus vite.
il n y a pas de prob,tu me repond quand tu veux ou quand tu peux.
0
Réponse 23 / 92
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
20 oct. 2010 à 22:33
pas de soucie prend ton temps et poste quand tu peut
0
Réponse 24 / 92
laf
20 oct. 2010 à 23:59
Je suis allé dans Windows Defender, gestion des programmes au démarrage, pour le désactiver, puis après je l'ai simplement mis à la corbeille depuis son emplacement: il s'appelle: hotfix.exe. Je ne sais pas si ça va durer mais ja'i récupéreé internet explorer pour l'instant...A suivre
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 92
francky
21 oct. 2010 à 02:30
voici le rapport kill em:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijoebIxc6.txt
0
Réponse 26 / 92
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 04:43
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau
0
Réponse 27 / 92
francky
21 oct. 2010 à 08:54
voila un nouveau phenoméne:
Generic Host Process for win 32 a rencontré un probleme et doit fermer.
ce phenoméne et apparu un petit moment apres avoir lancé clean de kill em.
je n ai ni fermé ni envoyé le rapport d erreur par peur que cela ferme kill em.
j espere que cela ne va pas troubler le rapport.
qu en pense tU?dois je relancer kill em?
a noter que je n ai plus du tout l apparition de thinkpoint.
merci a tout ceux qui me donnent une solution mais je vais rester sur les manips de BENURRR pour ne pas foutre tout son travail en l air.
quand je redémarre ou ferme windows j ai un truc qui se ferme et qui est nouveaux: qtplugins se ferme.
ce matin l ouverture de windows a etait plus rapide bien que je n ai pas tenté d aller sur le net.en tout cas j ai l impression d avancé.MERCI
dés que kill em affiche le rapport je le post,par contre dis moi si je dois le refaire a cause de ce Generic Host Process.
merci.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 09:13
bonjour

oui tu peut relancer

le fichier est qtplugins est un backdoor
0
Réponse 28 / 92
francky
21 oct. 2010 à 09:20
bonjour

je viens de voir ton message.
kill em n a pas encore terminer clean.
j ai donc toujours le message generic host process et maintenant j ai un nouveau message:

svchost.exe-erreur d application
l instruction a "0x7c933845" emploi l adresse mémoire"0x00000000"
la memoire ne peut etre read.
donc j ai ces deux message que je n ai pas touché avec kill em qui travaill derriere.
dois je recommencer kill em clean?
pour qtplugin c est simplement a la fermeture de windows.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 09:23
laisse le travailler
0
Réponse 29 / 92
francky
21 oct. 2010 à 09:31
ok
0
Réponse 30 / 92
francky
21 oct. 2010 à 09:57
bon je relance kill em clean car le prog s est terminé sans aucune reaction,ni aucun rapport.
0
Réponse 31 / 92
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 11:59
sur le bureau rien ?
0
Réponse 32 / 92
francky
21 oct. 2010 à 12:27
bon c est bon,il est sur le bureau.
pour l instant le pc est tres instable,simplement le fond decran ou ecran noir,mais de temp en temp le bureau est ok.
ma seul solution pour t envoyer le rapport c est en mode sans echec avec gestion reseau.
0
Réponse 33 / 92
francky
21 oct. 2010 à 12:33
le voici:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijATkaT28.txt
0
Réponse 34 / 92
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 12:59
Telecharge combofix :
Faire un clic droit sur le lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Choisir : "Enregistrer la cible du lien sous..."
* Choisir le Bureau comme destination.
* Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
* Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.


-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
0
Réponse 35 / 92
francky
21 oct. 2010 à 13:05
ok mais est que je peux faire cette manip en mode sans echec ou bien suis-je obligé de repasser en mode normal?
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 13:07
en mode normal mais si tu peut pas faire autrement lance le en mode sans echec
0
Réponse 36 / 92
francky
21 oct. 2010 à 13:12
ok je tente en mode normal mais ca risque d etre unpeu long
0
Réponse 37 / 92
francky
21 oct. 2010 à 14:03
combofix m a demandé de me connecter a internet pour telecharger le prog de recuperation,ce que j ai fait,ensuite je l ai lancé.
il a redémarré.
maintenant j ai seulement le fond d ecran,ce qui se passe une fois sur quatre.
combofix travail.
j ai du rallumer le pc pour passer en mode sans echec pour envoyer le rapport.
juste avant la fermeture avast a mis un virus en quarantaine,je n ai eu le temps de rien faire le pc s est arreté.
il me semble que c etait un truc du genre winolog.exe
0
Réponse 38 / 92
francky
21 oct. 2010 à 14:04
voici le rapport en mode normal:

ComboFix 10-10-20.04 - xp 21/10/2010 13:40:42.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2038.1675 [GMT 2:00]
Lancé depuis: c:\documents and settings\xp\Bureau\CCM.exe.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Tages
c:\documents and settings\All Users\Application Data\Tages\100663909\Serial.txt
c:\documents and settings\All Users\Application Data\Tages\Priv.xey
c:\documents and settings\xp\Application Data\download2
c:\documents and settings\xp\Application Data\download2\svcnost.exe

c:\windows\explorer.exe . . . est infecté!!

c:\windows\system32\winlogon.exe . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-21 au 2010-10-21 ))))))))))))))))))))))))))))))))))))
.

2010-10-20 23:19 . 2010-10-21 06:31 -------- d-----w- C:\Kill'em
2010-10-20 20:38 . 2010-10-21 07:40 -------- d-----w- c:\program files\List_Kill'em
2010-10-20 18:20 . 2010-10-20 18:20 -------- d-----w- c:\documents and settings\clean
2010-10-20 17:04 . 2010-10-20 17:51 44800 ----a-w- c:\windows\system32\drivers\afwvyzd.sys
2010-10-20 07:50 . 2010-10-20 18:59 -------- d-----w- c:\program files\Ad-Remover
2010-10-20 07:49 . 2010-10-20 07:52 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2010-10-20 05:10 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 05:10 . 2010-10-20 05:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-20 05:10 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-19 08:19 . 2010-10-19 08:19 -------- d-----w- c:\windows\system32\wbem\Repository
2010-10-19 08:17 . 2010-10-19 08:17 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-10-19 06:22 . 2008-04-13 09:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-10-19 06:22 . 2008-04-13 09:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-10-19 06:22 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-10-19 06:22 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-10-19 06:22 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-10-19 06:22 . 2008-04-13 09:41 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-10-19 06:22 . 2010-10-19 06:22 -------- d-----w- c:\documents and settings\xp\Application Data\6B511F833D1791EDFDCC9EEDACF42419
2010-10-13 20:47 . 2010-10-13 21:03 -------- d-----w- c:\documents and settings\xp\P5JavaClientSettings
2010-10-12 23:38 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-10-07 18:21 . 2010-10-07 18:21 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-10-06 01:37 . 2010-10-06 21:33 -------- d-----w- c:\program files\Anno 1701
2010-10-06 01:37 . 2006-02-07 13:45 757760 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\iKernel.dll
2010-10-06 01:37 . 2006-02-07 13:40 204800 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\iuser.dll
2010-10-06 01:37 . 2006-02-07 13:40 69715 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\ctor.dll
2010-10-06 01:37 . 2006-02-07 13:40 274432 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\iscript.dll
2010-10-06 01:37 . 2006-02-07 13:39 32768 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\Objectps.dll
2010-10-06 01:37 . 2005-11-13 21:19 5632 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\DotNetInstaller.exe
2010-10-06 01:37 . 2010-10-06 01:37 331908 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\setup.dll
2010-10-06 01:37 . 2010-10-06 01:37 200836 ----a-w- c:\program files\Fichiers communs\InstallShield\Professional\RunTime\11\50\Intel32\iGdi.dll
2010-10-05 23:36 . 2010-10-05 23:36 -------- d-----w- c:\program files\7-Zip
2010-10-04 01:02 . 2010-10-04 08:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-10-03 22:03 . 2010-10-03 22:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard
2010-09-30 23:44 . 2010-09-30 23:44 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-09-30 23:42 . 2010-09-30 23:44 -------- d-s---w- c:\documents and settings\Administrateur
2010-09-30 22:23 . 2010-09-30 23:44 -------- d-----w- c:\documents and settings\xp\Application Data\DAEMON Tools Pro
2010-09-28 14:36 . 2010-09-28 14:36 -------- d-sh--w- c:\documents and settings\All Users\Application Data\SecuROM
2010-09-28 14:35 . 2010-06-02 02:55 74072 ----a-w- c:\windows\system32\XAPOFX1_5.dll
2010-09-28 14:35 . 2010-06-02 02:55 527192 ----a-w- c:\windows\system32\XAudio2_7.dll
2010-09-28 14:35 . 2010-06-02 02:55 239960 ----a-w- c:\windows\system32\xactengine3_7.dll
2010-09-28 14:35 . 2010-05-26 09:41 470880 ----a-w- c:\windows\system32\d3dx10_43.dll
2010-09-28 14:35 . 2010-05-26 09:41 248672 ----a-w- c:\windows\system32\d3dx11_43.dll
2010-09-28 14:35 . 2010-05-26 09:41 2106216 ----a-w- c:\windows\system32\D3DCompiler_43.dll
2010-09-28 14:35 . 2010-05-26 09:41 1868128 ----a-w- c:\windows\system32\d3dcsx_43.dll
2010-09-28 14:35 . 2010-05-26 09:41 1998168 ----a-w- c:\windows\system32\D3DX9_43.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2008-04-14 . F906B60847731883676FECA48506EB8E . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . A4665417736DA28B7D0513B3AAF7A52F . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-06 39408]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-09-24 1685816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-11-14 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-11-14 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-11-14 141336]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-05-14 33624064]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"SystrayORAHSS"="c:\program files\Orange HSS\Systray\SystrayApp.exe" [2007-07-24 94208]
"ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2007-07-24 102400]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-26 734264]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

c:\documents and settings\xp\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\Anno 1701\\Anno1701.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [17/09/2009 22:28 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [17/09/2009 22:28 17744]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [17/09/2009 21:42 1358720]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 14:28 135664]
S2 Norton Internet Security;Norton Internet Security;"c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\program files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04/11/2009 01:35 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-10-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 12:28]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 12:28]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
Trusted Zone: chat-land.org
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-download - c:\documents and settings\xp\Application Data\download2\svcnost.exe



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A6A1446]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7ecb8
\Driver\atapi -> atapi.sys @ 0xb9f36852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xb9e42bb0
PacketIndicateHandler -> NDIS.sys @ 0xb9e4fa21
SendHandler -> NDIS.sys @ 0xb9e2d87b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\Norton Internet Security]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2010-10-21 13:50:55
ComboFix-quarantined-files.txt 2010-10-21 11:50

Avant-CF: 55 576 453 120 octets libres
Après-CF: 55 547 170 816 octets libres

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - FA54896ECF94099EA295DC4AD7E7FD8C
0
Réponse 39 / 92
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
21 oct. 2010 à 19:06
il va falloir te remplacer tes fichier infecter

c:\windows\explorer.exe . . . est infecté!!
c:\windows\system32\winlogon.exe . . . est infecté!!

en va les faire un par un il faut trouver les fichier sain

* Télécharge SEAF (de C_XX) sur ton Bureau.

http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

* Lance SEAF
* Dans les options, coche "Chercher également dans le Registre"
* Tape explorer.exe dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* A la fin, poste le rapport dans ta prochaine réponse
0
Réponse 40 / 92
francky
21 oct. 2010 à 20:40
ok c est bien ce qui me semblait
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses