trz8D.tmp cheval de troieRésolu/Fermé

Question

Bonjour,

Hier, avast a détecté un cheval de troie sur mon ordi, qui a mon avis était au départ sur ma clé USB sous forme de dossiers DATA, FLASH, impossibles à ouvrir et surtout impossible à supprimer.
Après avoir utilisé Ad Aware, Spy Boat, Ccleaner et après avoir fait un scan au démarrage avec Avast (qui trouve une quinzaine de fichiers de type DATA.exe, ou trz8D.tmp), il me semble que mon ordi soit à peu près clean mais rien de sûr.
Mon autre problème c'est que mes clés USB sont infectées, impossible à formater et que j'ai peur d'avoir aussi infecté mon second pc (via clé USB) que je n'utilise que pour l'image et le son et qui n'a donc ni internet ni anti-virus...

Quelqu'un peut-il m'aider?

Merci par avance!
Vicman

renaldo21 · Answer

bonjour a toi va dans les fichier quarantaine de avast tete de mort et ecrase  tous les fichiers et sur les autre fichier aussi pendant que tu il est relance avast scan et telecharge norton security scan sur clubic et tous reviendra normal a plus

vicman · Answer

Salut renaldo21

Comment ça "et sur les autre fichier aussi"...?
Et pour les clés USB?

Merci

renaldo21 · Answer

pour ta cle usb attend que ton ordi soit mis a jour si tu ve pour plus de proctesion telecharge aussi sunbelt personal firewal sur clubic seci est inparable pour tous viru logisiel espion et tous les telechargement que tu feras sur p2p

Lyonnais92 · Answer

Bonjour,

désolé de taper l'incrust, mais si c'est ce que je pense (autorun.inf, ravmonlog, ça va pas le faire).

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

vicman · Answer

Bonjour lyonnais92

Voici mon Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:48, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB001" /M "Stylus Photo RX700"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Lyonnais92 · Answer

Bonjour,

2 antivirus ne remplacent pas un parefeu.

Choisis entre Norton et Avast.

Pour désinstaller Norton :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

et Avast :
https://www.avast.com/fr-fr/uninstall-utility

Le meiux serait que tu désinstalles les 2 (sauf si tu en payes 1, auquel cas on attendra la fin de ton abonnement) au profit de Antivir (bien qu'en anglais) :

lien et tuto ici :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

Pour le parefeu,
Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Pour tes clés, il faut scanner.

Installes en une. Ne clique pas. Fais un scan avec ton antivirus sur ce lecteur et poste le rapport.

vicman · Answer

Merci pour toutes ces infos.

Je vais désinstaller norton car en fait je ne l'utilise pas.
Antivir est il gratuit? Pour l'instant ma version d'avast est gratuite.

J'installe Zone Alarm.

Je scannerai ensuite les clés et je posterai le rapport.

Et pour les fichiers en quarantaine ? Je les supprime tous ?

Merci beaucoup!

Lyonnais92 · Answer

Re,

la référence que je t'ai donné, c'est antivir gratuit.

Les quarantaines sont faites pour être vidées dès qu'on a constaté que l'absence d'un fichier ne nuisait pas au bon fonctionnement de l'ordi.

vicman · Answer

salut,

J'ai téléchargé Zone Alarm, j'ai ensuite désctivé le parfeu de windows, ensuite je me suis déconnecté pour enfin installer Zone Alarm sauf que là il me dit qu'il a besoin d'être téléchargé...
Je comprend pas, j'ai pourtant zadownloader.exe sur mon bureau...

Je fais quoi, je retélécharge?
Encore merci.

Lyonnais92 · Answer

Re,

suis les instructions qu'il te donne.

leon95 · Answer

bonjour monsieur le lyonnais..serais tu inspire par mon rapport sdfix??m
erci d avance

http://www.commentcamarche.net/forum/affich 3898385 analyse rapport sdfix#dernier

vicman · Answer

Re

En fait j'ai finalement installé Zone Alarm mais maintenant c'est avec lui que j'ai des problèmes...

J'en ai même fait un nouveau message dans le forum tellement c'est chiant de rien comprendre...

http://www.commentcamarche.net/forum/affich 3898711 zone alarm avast#dernier

merci

vicman · Answer

Re

Ca a l'air de marcher...
Effectivement, je n'avais pas fini de lire le tuto... Comment tu as deviné ? ;-) Ca m'apprendra!

Je m'occuppe des clés USB et je poste le rapport au plus vite.

Merci

Lyonnais92 · Answer

Bonjour,

un souci pour les clés ?

vicman · Answer

Désolé, je n'ai pas encore eu le temps de m'en occuper...
J'envoie ça demain!

Merci beaucoup pour la relance!

vicman · Answer

Bonjour, 

Voilà ce que Avast trouve sur l'une des clés. 
Sur les autres c'est pire mais je ne sais pas comment copier le rapport d'Avast donc pour l'instant je recopie et c'est un peu fastidieux...

F:\Recycled\ctfmon.exe        Infection:Win32:VB-EAA [Trj]
F:	rz8E.tmp                          infection:Win32:Trojan-gen {Other}

Merci

Lyonnais92 · Answer

Bonjour,

ne recopie pas.

ne fais pas de doubre clic, mais un clic droit.

Vide les corbeilles (recycler).

Avast ne supprime rien ?

Je ne sais plus si Spybot et Ad aware scannent les disquies amovibles. Si oui, scanne et supprime ce qu'ils trouvent.

vicman · Answer

Je fais un clic droit sur la clé ?
Pour vider Recycled?
Et pour les fichiers DATA et FLASHY ? En fait je ne sait pas s'il sont toujours là puisque je n'ose pas ouvrir la clé.
Avast a tout mis en quarantaine et quand je relance un scan, il ne trouve plus rien...

Lyonnais92 · Answer

Re,

si avast a mis en quarantaine, c'est parfait.

Tu ouvres l'explorateur, et tu déplies l'arbre pour voir le contenu de la clé.

Il ne faut pas faire un double clic sur un fichier.

Ya t il un fichier autorun ou ravmonlog ? Si oui, ne touche à rien. C'est le malware. Il y a des outils contre lui.

vicman · Answer

Re,

J'ai ouvert l'explorateur, déplié l'arbre, cliqué sur le petit plus devant la clé et là, rien.
Il ne se passe rien. Impossible de voir le contenu de la clé...
Est-ce que je peut faire clique droit sur la clé et ensuite cliquer sur explorer?

Lyonnais92 · Answer

Bonjour,


Télécharge QQPass-RjumpStinger.zip ici :

http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip

Clique sur enregistrer et choisis "bureau".

Dézippe le dans dans le dossier QQPass-RjumpStinger.

Connecte tous tes périphériques externes (DD, clés USB, ipod, ...).

Double clic sur le fichier Stinger.exe.

Si les lettres attribuées à chaque périphérique externe n'apparaissent pas automatiquement dans la liste des emplacements à scanner, rajoute-les manuellementde cette manière: 
Clic sur Browse et selectionne le périphérique que tu souhaites rajouter à l'analyse. 

Clique sur "Scan Now" pour lancer l'analyse. 

Une fois le scan terminé, clique sur "File" dans le menu et clique sur "Save report to file" pour sauvegarder le rapport d'analyse. 

Ce rapport est généré et sauvegardé dans le dossier QQPass-RjumpStinger sous le nom stinger.txt.

fais un copier/coller pour le mettre dans ta prochaine réponse.

vicman · Answer

Salut

Voilà le résultat  : 

McAfee® Stinger Version 3.0.7 built on Oct 17 2006

Copyright © 2006 McAfee, Inc. All Rights Reserved.

Virus data file v1000 created on Oct 20 2006.

Ready to scan for 13 viruses, trojans and variants.

This product is outdated.

Please go to http://vil.nai.com/vil/stinger for an update.



Scan initiated on Wed Oct 31 22:57:16 2007

  Number of clean files: 259981


Mais je me suis rendu compte après que le prduit est "Oudated".
Dois-je faire la mise à jour et recommancer?

Merci

Lyonnais92 · Answer

Re,

Télécharge RAV ANTIVIRUS par Evosla  
:
http://ww25.evosla.com/compteur.php?soft=rav_antivirus 


--- Décompresse-le (clic droit >> Extraire ici) et double cliquer sur le fichier RAV.exe

--- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............);

--- une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tous les lecteurs (Disques fixes et amovibles).

--- si un virus est trouvé, un log s'établira, sinon rien ne va se passer et le soft affichera "Votre Ordinateur est Sain".

--- Retire les disques amovible et redémarre l'ordinateur.

vicman · Answer

Bonjour

Rav a trouvé un virus : 

e:\autorun.inf

qui a été supprimé avec succès.

Mais j'ai été obligé d'arreter en route car le scan durait depuis plus de 12h... 
C'est normal?

Merci.

Lyonnais92 · Answer

Bonsoir,

je préfererai que tu relances RAV ANTIVIRUS, quitte à ce que l'ordi tourne toute la journée.

Tu reposteras ensuite un nouveau rapport Hijackthis.

vicman · Answer

Bonjour

Désolé de ne pas avoir donné de nouvelles, je n'étais pas chez moi pendant quelques jours et je n'avais pas de connection internet.

J'ai relancé Rav avec mes trois clés USB banchées.
Il a tout d'abord trouvé le même virus "autorun.inf" sur toutes les clès puis, quelques minutes plus tard, le programme a planté. Donc je n'ai pas pu terminer le scan et j'ai redémaré l'ordi.
J'ai ensuite réessayé d'ouvrir les clés via l'explorateur. Impossible.
Je commence un peu à désesperer...

Voici mon dernier Hijackthis : 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:37, on 06/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB001" /M "Stylus Photo RX700"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonjour,

les ports USB fonctionnent ?

le gestionnaire de périphérique ne signale rien ?

vicman · Answer

Re

Je crois bien que les périphériques fonctionnent puisqu'ils reconnaissent toutes les clés (e: f: g: ) et je les utilise aussi pour ma souris et mon imprimente... Et tout à l'air de marcher correctement.

Lyonnais92 · Answer

Re,

connecte une clé et scanne la avec ton antivirus.

Que dit il ?

vicman · Answer

Avast ne trouve rien.
J'ai aussi réussi à formater la clé...

Lyonnais92 · Answer

Re,

tu as traité toutes les clés comme ça ?

Tu as perdu des données ?

vicman · Answer

Re,

alors en fait, avast ne détecte rien  sur aucune des trois clés.
Pour le formatage je ne suis pas trop inquiet car je n'ai rien de très précieux sur ces clés.
Ce qui a changé, c'est que l'une des clés s'ouvre maintenant automatiquement lorsque je la branche sans me demander mon avis comme pour les autres.
 Dessus, trois choses. Une sorte de logiciel nommé SanGo (de sandisc, vendu avec la clé), un fichier Device_serial, et un fichier Flash ( Fichier système).
Je fais quoi ? Je formate tout ?
C'est peut-être plus sur...

Lyonnais92 · Answer

Re,

Fais un scan minutieux de la clé avec ton antivirus (fait ) et ton anti spyware.

Sauvegarde les 3 fichiers sur une autre clé amovible, formatte la première et remets y les logiciels.

Reformate celle qui a servi de support.

C'est peut être du boulot inutile, mais ça ne coûte que du temps lol !

vicman · Answer

Re 
C'est très bizarre parce qu'en fait il y a près de 200 fichiers photos sur la clé mais aucun n'apparait dans l'explorateur...

Bon, je fais ce que tu m'as dit. 
On verra après.

Lyonnais92 · Answer

Re

résultat ?

vicman · Answer

Bonjour

Même vidée de son logiciel et formatée, la clé continue de s'ouvrir toute seule losque je la branche.
J'ai fait une fausse manip?

Lyonnais92 · Answer

Bonjour,

quelque soit le port USB où tu la branches ?

et les autres ne font pas ça ?

vicman · Answer

Re
Oui, quelque soit le port USB et deux d'entre elles le font depuis hier soir seulement.

vicman · Answer

Bonjour

Bon bah je sais toujours pas quoi faire. J'ai deux clés formatées qui s'ouvrent toutes seules, une troisième sur laquelle j'ai copié tout ce qu'il y avait sur les deux autres, un disque dur externe sur lequel rav a trouvé un virus ( supprimé totalement ? ) et un autre ordi sans anti-virus qui est lui aussi infecté...

De l'aide?

Merci !

Lyonnais92 · Answer

Bonjour,

désolé, tu étais tompbé dans les profondeurs.

Pour l'ouverture automatique, il doit y avoir une clé à modifier, je vais voir si je trouve.

Pour l'autre ordi,

il faudrait que tu communiques via une clé usb.

télécharge RAV antivirus sur la clé, installe le sur l'ordi infecté et nettoie le en exécutant le logiciel.

Télécharges hijackthis sur la clé, installes le sur l'ordi infecté, exécutes le et copie le rapport sur la clé pour le mettre dans ta réponse.

vérifie à chaque fois que la clé n'a pas réinfecté le premier ordi.

vicman · Answer

Bonjour!!

Merci de reprendre contacte!
J'ai copié Rav et Hijackthis sur ma clé qui avait été formatée. Je l'ai ensuite branchée sur mon autre pc.
J'ai alors découvert sur la clé un nouveau dossier Flashy et un nouveau dossier Recycled.
J'ai tout de suite lancé Rav qui détecte autorun.inf sur c:\ et la même chose sur e:\ sauf que ça ne s'arrête plus. Toutes les 5 secondes Rav retrouve le même fichier sur e:\ Et ça ne s'arrête plus.
Flashy et Recycled sont toujours sur la clé et je ne peux donc plus la brancher sur mon ordi principal.
Que faire?
J'installe Hijackthis et je copie un rapport? Le problème c'est que j'ai peur de réinfecter le premier ordi en faisant cette manip'

Merci

Lyonnais92 · Answer

Re,

copie Rav et hijackthis sur l'ordi infecté et essaye de formatter la  clé.

essaye ça : ouvre le bloc-note, copie y aaaaaa.

Enregistre le fichier sous autorun.inf (dans la clé et sur l'ordi) (coche tous les fichiers et pas .txt).

Il devrait protester parce que le fichier existe déjà. réponds que tu veux le remplacer;

quand tu as fait les 2, vérifie et refais passer RAV.

Si la clé est saine, exécute Hijackthis et copie le rapport sur la clé.

vicman · Answer

Bonjour!

J'ai copié Rav et Hijackthis sur l'ordi. J'ai ensuite formaté la clé, ce qui a tout supprimé sauf les éternels dossiers Flashy et Recycled...
J'ai ensuite ouvert le bloc note, copié aaaaaa (c'est bien ça qu'il faut faire ? ça parrait tellement bizarre...;) ) et ensuite, en voulant enregister le fichier sous autorun.inf sur la clé, le messae suivant est apparu :
"Ce fichier existe avec un attribut de lecture seule. Veuillez utiliser un nom de fichier différent"
Et là je suis coincé.
Je n'ai pas essayé de copier le fichier sur l'ordi car en fait je ne sais pas où le copier exactement.

Merci pour la patience!!!

Lyonnais92 · Answer

Re,

ouvre l'explorateur Windows, recherche le fichier autorun.inf sur la clé (s'il le faut afficher ...)

clic droit sur le fichier et propriétés.

As tu l'onglet Sécurité ?

Si oui, Sécurité, tu choisis ta session, paramètres avancés et tu essayes de donner le contrôle total.

Si non, démarrage en mode sans échec, tu choisis la session administrateur et même manipulation.

Tu essayes de nouveau de recopier autorun.inf.

Pour l'ordi, fais rechercher sur autorun.inf. Si tu n'en as qu'un, pas de soucis, tu écrases celui-là. Si tu en as plusieurs, donne moi les noms complets.

vicman · Answer

Re,

Dans l'explorateur windows, impossible de trouver autorun.inf. Je n'ai tjs que Flashy et Recycled.
J'ai essayé de faire apparaitre les fichiers cachés mais en suivant la procédure j'ai eu un petit problème.
Dans le menu "Outils" du poste de travail, "Option des dossiers..." où je doit cliquer n'apparait pas...

J'essaye en mode sans echec ?

Dans l'ordi j'ai trouvé deux fichiers autorun qui date de 2004...
Leurs noms :
AUTORUN   dans  c:\utilitaires\Adobe Photoshop Cs 8.0
autorun      dans   c:\utilitaires\WinDVD

Merci!

Lyonnais92 · Answer

Re,

oui, tu essayes en mode sans échec, session administrateur

vicman · Answer

Re,

Tout est exactment identique en mode sans échec.
Dans l'explorateur, je ne vois que Flashy et Recycled et je n'ai tjs pas "Options des dossiers..." dans le menu Outils du poste de travail.
Il m'est aussi toujours impossible d'enregister le nouveau fichier autorun.inf...

Lyonnais92 · Answer

re,

et par clic droit sur un fichier ou dossier ?

Pas de Sécurité et partage dans la liste qui s'affiche ni par Propriétés ?

Sinon, à l'ancienne :

démarrer, exécuter, cmd et OK

attrib -r -h nom_complet_de_autorun.inf et entrée

comme indiqué ici :

http://www.infoprat.net/astuces/windows2k_xp/commandes/attrib.php

vicman · Answer

Re, 

Lorsque je vais dans Propiété de tous les dossiers, un onglet sécurité est alors bien visible sauf dans le cas de la clé, où dans Propriété de Flashy et Recycled, j'ai le choix entre Général et Compatibilité.

J'ai donc essayé attrib -r -h nom_complet_de_autorun.inf et entrée.
La réponse st la suivante :
"Fichier système non remis à zero - E:\autorun.inf

Lyonnais92 · Answer

Re,

je suppose que , après cmd,

format e:\ ne donne rien de mieux ?

Essaye ren E:\autorun.inf E:\atuer.inf

puis ren E:\aaaa.inf E:\autorun.inf

après avoir créé aaaa.inf avec le contenu aaaaa

vicman · Answer

Re,

Désolé je ne comprend pas bien tes indications.
Format e:\ veut dire que je dois essayer de formater e:\ ? En fait, j'ai essayé de formater en restant en mode ss échec et les dossiers Flashy et Recycled ont disparu. J'ai alors relancé Rav qui a de nouveau trouvé Autorun.inf sur c:\ ainsi que sur e:\ je ne sais combien de fois.
Maintenant je voudrais faire ce que tu me conseilles mais je ne comprend pas ce que tu veux dire par "ren E:\autorun.inf E:\atuer.inf" et "ren E:\aaaa.inf E:\autorun.inf". Ren est une commande à faire dans cmd ?

Je suis vraiment désolé! Ca devient un peu technique et je ne comprend pas bien...

MERCI!

Lyonnais92 · Answer

Re,

on essaye comme ça :

tu crées un fichier sous le bloc notes avec seulement aaaa dedans, tu te prépares à l'enregistrer sous E:\autorun.inf mais tu ne le fais pas.

Tu formates la clé.

Dés la fin du formatage, tu enregistres le fichier autorun.inf.

Si il le prend, c'est gagné pour la clé. Tu vérifies en ouvrant le fichier que tu viens de sauvegarder et tu sors en faisant annuler.


Sinon, oui, ren est à faire sous cmd. C'est une abréviation de la commande DOS rename. J'essaye de contourner l'interdiction sur le fichier.

vicman · Answer

Merci pour toutes ces explications.
J'essaye tout de suite!

vicman · Answer

Re,

J'ai tapé "ren E:\autorun.inf E:\atuer.inf" dans cmd et il me dit que la syntaxe de la commande est incorrecte.
Faut-il taper DOS rename ?

( J'ai tenté d'enregistrer un Autorun.inf juste après le formatage et ça n'a pas marché. J'ai obtenu le même message.)

Lyonnais92 · Answer

Re,

as tu un graveur de Cd rom sur l'ordi sain et un lecteur de Cd rom sur l'ordi infecté ?

et un CD réinscriptible ?

vicman · Answer

Re,

J'ai effectivement un graveur sur l'ordi sain et un lecteur sur l'ordi infecté.
Et j'ai des cd vierges mais pas réinscriptibles... Il faut qu'il le soit ou c'est juste pour ne pas perdre un cd?

Lyonnais92 · Answer

Re,

oui, c'est uniquement pour ne pas perdre un CD.

On va télécharger des outils dans un répertoire, graver ce répertoire et installer les outils sur l'ordi malade.

1) Créé un répertoire C:\Infection

2) Télécharge dans ce répertoire :

Télécharge QQPass-RjumpStinger.zip ici :

http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip

Télécharge RAV ANTIVIRUS par Evosla  
:
http://ww25.evosla.com/compteur.php?soft=rav_antivirus 

telecharge kill_autorun_vbs.dat

http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16 

double click sur kill_autorun_vbs.bat et laisse le faire le boulot

L'outil Flash_Disinfector de sUBs: 

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 

Tu ouvres ce lien pour télécharger clamwin

http://www.zebulon.fr/dossiers/64-2-lancement-clamwin-portable.html



3) Tu graves le répertoire. Choisis un multi session.


4) Tu ouvres le CD

      
Dézippe QQPass-RjumpStinger.zip  dans dans le dossier QQPass-RjumpStinger.

Connecte tous tes périphériques externes (DD, clés USB, ipod, ...).

Double clic sur le fichier Stinger.exe.

Si les lettres attribuées à chaque périphérique externe n'apparaissent pas automatiquement dans la liste des emplacements à scanner, rajoute-les manuellementde cette manière: 
Clic sur Browse et selectionne le périphérique que tu souhaites rajouter à l'analyse. 

Clique sur "Scan Now" pour lancer l'analyse. 

Une fois le scan terminé, clique sur "File" dans le menu et clique sur "Save report to file" pour sauvegarder le rapport d'analyse. 

Ce rapport est généré et sauvegardé dans le dossier QQPass-RjumpStinger sous le nom stinger.txt.

fais un copier/coller pour le mettre dans ta prochaine réponse.

=================

  
--- Décompresse- RAV ANTIVIRUS  (clic droit >> Extraire ici) et double cliquer sur le fichier RAV.exe

--- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............);

--- une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tous les lecteurs (Disques fixes et amovibles).

--- si un virus est trouvé, un log s'établira, sinon rien ne va se passer et le soft affichera "Votre Ordinateur est Sain".

--- Retire les disques amovible et redémarrez l'ordinateur.

=============================================

Copie  kill_autorun_vbs.bat  sur le bureau
double click sur kill_autorun_vbs.bat et laisse le faire le boulot

===================================================

Utilisation : 
Enregistrez Flash_Disinfector.exe sur votre bureau. 
Double cliquez sur Flash_Disinfector.exe pour le lancer. 
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : 
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés. 
Puis cliquez sur Ok 
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!" 
Appuyez sur "Ok", pour faire réapparaitre le bureau. 



('c'est lui qui créé autorun.inf avec un texte sans danger pour empêcher l'infection) :



Tu exécutes aussi clamwin après l'avoir copié sur le bureau (de l'ordi infecté).

Tu me tiens au courant.

vicman · Answer

Merci beaucoup!!!
Je m'occupe de tout ça et je te tiens au courant!

vicman · Answer

Re,

j'ai tout téléchargé sauf kill_autorun_vbs.dat car le lien ne permet pas le téléchargement.... enfin je crois. 
Une nouvelle page s'ouvre avec des lignes de code. C'est tout.
Je vais tenter de trouver un autre lien...

vicman · Answer

Re, 

en fait si j'ai bien compris, c'est un code à copier dans le bloc note et à enregistrer sous le nom de kill_autorun_vbs.dat.
Par contre où faut-il le copier?

Sinon, j'ai lu aussi quelques inquiétudes au sujet de "kill.reg"...

Lyonnais92 · Answer

Re,

je n'ai pas de problème : je clique et je choisis enregistrer sous, c'est du texte.


Tu peux l'enregistrer sous kill_autorun_vbs.dat dans le dossier à graver.

pour kill.reg, c'est on antivirus qui tilte ?  probablement normal, ça doit être un outil avec lequel il ne faut pas faire n'importe quoi (ccomme tous nos outils en faità

vicman · Answer

Bonjour,
Bon, bah j'ai tout copié sur le bureau de l'ordi infecté, j'ai lancé les antivirus les uns après les autres et rien n'y fait...
La clé USB reste infectée.
Je crois que je vais finir par nettoyer l'ordi avec Rav( parce que ça à l'air de marcher sur c:\) et laisser tomber cette clé.
Ou alors je réessaye sur l'ordi sain parce que ça avait marché la première fois... mais j'hésite un peu.
Toute façon, c'est un peu bizarre parce que même après le formatage de la clé, le virus est toujours là...

Sinon, pour l'une des autres clés, y a t il un moyen d'empecher l'ouverture automatique lors du branchement sur le port ?

Je crois mon cas est un peu désespéré, non?

Merci !

Lyonnais92 · Answer

Re,

trouvé ceci (traduction d'une procédure trouvée sur un très bon forum américain)

Connecte ta clé USB avant de démarrer l'ordi.

Redémarre l'ordi en mode sans échec.

Démarrer, exécuter : tu tapes cmd 
Puis OK.

Dans la fenêtre, tu tapes le nom de la partition contenant Windows, en général C:
 Pour changer de répertoire, tu tapes cd \
 Entrée
tu tapes : attrib -s -h -r -a autorun.inf
Entrée.
tu tapes : dir
Entrée. Ceci te permet de voir et te donne accès à autorun.inf
tu tapes : del autorun.inf
Entrée.
Tu recommences pour chacun des répertoires de ton ordi (C:, D:, E:, ...)

Résultat ?

vicman · Answer

Bonjour

Après avoir tapé attrib -s -h -r -a autorun.inf, j'ai fait Dir et là il me dit qu'il existe un fichier sur e: nommé autorun.inf de 105 octets.
Donc là je fais del autorun.inf et ensuite je retape Dir. Là, il me dit fichier introuvable.
Plein d'espoire, je relance Rav qui malheureusement retrouve de nouveau autorun.inf je ne sais combien de fois...

Sans trop savoir pourquoi, j'ai décider d'instaler Avast sur l'ordi infecté. Je le lance au démarrage et là, il détecte une trentaine de fichier en tous genres que je met en quarantaine. En vérifaint, je me suis rendu compte qu'Avast avait trouvé un fichier sur la clé USB nommé "e:\Recycled\ctfmon.exe".
A la fin du scan, j'ai relancé Rav qui retrouve autorun.inf sur e:, sauf que cette fois, Rav ne le trouve qu'une seule fois! Pour l'instant Rav n'est pas encore terminé (ça fait plus de 8 heures) donc ne crions pas victoire...

Le problème venait-il de "e:\Recycled\ctfmon.exe" qui d'ailleurs était invisible car aucun dossier Recycled n'apparaissait dans E:\...
Bon, j'arttend la fin de Rav et j'essaye de poster un Hijackthis.

Merci

Lyonnais92 · Answer

Re,

recycled, c'est la corbeille.

vicman · Answer

Bonjour,
Voilà donc le Hijackthis de l'ordi "infecté".
Il me semble en tout cas que e: est sain. Rav ne trouve plus rien.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:35, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
c:\progra~1\exact\exactupdate.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - C:\Program Files\eXact\eXactToolbar.dll
O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - C:\Program Files\eXact\eXactToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] javaw -cp "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msbb] c:\program files
-case\msbb.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB001" /M "Stylus Photo RX700"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Sidesearch - {000007C6-17DF-4438-92A4-DE5537471BA3} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Lyonnais92 · Answer

Bonjour,

relance hijackthis, choisis the misc tool section, open uninstall manager, clique sur save list, enegistre le fichier et copie le dans ta réponse.


Tout est Ok sur l'autre ordi et les clés ?

vicman · Answer

Re,

Voilà pour le fichier Hijackthis

ACDSee 7.0 PowerPack
Acoustica Effects Pack
Acoustica Mixcraft
Acoustica MP3 Audio Mixer
Adobe Acrobat 5.0
Adobe Photoshop CS
Advanced WMA MP3 Converter version 1.2
Ahead Nero Burning ROM
Archiveur WinRAR
AsusUpdate
avast! Antivirus
Bargain Buddy
Call of Duty - United Offensive
Call of Duty Game of the Year Edition
Creative Jukebox Driver
Creative MediaSource
Creative Removable Disk Manager
Creative System Information
Creative Zen Micro
DivX 5.0.2 Pro Bundle
E-MU Audio Drivers
E-MU PatchMix DSP
EPSON Attach To Email
EPSON Copy Utility 3
EPSON Easy Photo Print
EPSON Event Manager
EPSON File Manager
EPSON Image Clip Palette
EPSON Logiciel imprimante
EPSON PRINT Image Framer Tool
EPSON Scan
EPSON Scan Assistant
ESPRX700 Guide d'utilisation
eXact Search Bar
Guitar Pro 5.0
Herosoft Audio Convert
HijackThis 2.0.2
iTunes
Lycos Sidesearch
MAGIX audio cleanic 2003
MAGIX audio cleaning lab 2005
Marvell Miniport Driver
Medal of Honor Batailles du Pacifique(tm)
Medal of Honor débarquement allié
Medal of Honor Débarquement allié(tm) En Formation
Mixcraft RealAudio Support
MP3 Audio Mixer G2 Support
Mpeg Layer3 Codec FHG-Radium v1.263
NeoAudio
Nic's XviD Decoder 230203
Nikon FotoShare
Nikon Message Center
Petit Larousse 2004
PictureProject
PIF DESIGNER
QuickTime
RealProducer Plus 10
Realtek AC'97 Audio
ReBirth RB-338 2.01
Search Assistant
Shockwave
Sony ACID Music Studio 5.0
Steinberg Cubase SX Demo
Steinberg Cubase SX v2.2.0.33
Steinberg Cubase VST
Steinberg WaveLab 5.01a
Tom Clancy's Splinter Cell
WaveLab Lite
Windows Media Format Runtime
WinFast(R) Display Driver
XviD MPEG-4 Video Codec
XviD Video Codec 04102002-1 (Koepi's build with EPSZ ME)

Pour l'ordi et les clés USB, tout semble OK. Disons que Rav et Avast ne trouvent plus rien.
Par contre, les clés continuent, soit de s'ouvrir toutes seules, soit au contraire, de rien faire. Si j'ai bien compris, il faut créer un autorun.inf...

Merci

Lyonnais92 · Answer

Re,

Flash desinfector de sUBs créé l'autorun.inf.

Fais le passer.

De quand date la base antivirale de l'ordi (celle de avast) ?

Démarre l'ordi en mode sans échec.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

 BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - C:\Program Files\eXact\eXactToolbar.dll
O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - C:\Program Files\eXact\eXactToolbar.dll
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] javaw -cp "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"
O4 - HKLM\..\Run: [msbb] c:\program files
-case\msbb.exe



Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

======================================== 
->Affiche tous les fichiers et dossiers : 
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 
======================================== 

Ouvre l'explorateur Windows.

Cherche et supprime :

  C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
 C:\WINDOWS\bs3.dll
 
  C:\Program Files\eXact\eXactToolbar.dll
  C:\WINDOWS\bs3.dll,DllRun
 
 c:\program files
-case\msbb.exe
C:\Program Files\Lycos
 c:\program files
-case

Redémarre en mode normal et remets un rapport Hijackthis.

vicman · Answer

Re,

la base antivirale d'Avast est très récente puisque je l'ai téléchargée il y a 2 jours pour l'installer sur l'ordi infecté.

Bon, j'ai tout fait comme il faut sauf qu'il m'est impossible de trouver les fichiers suivants :

C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
C:\WINDOWS\bs3.dll

C:\Program Files\eXact\eXactToolbar.dll
C:\WINDOWS\bs3.dll,DllRun

c:\program files
-case\msbb.exe
c:\program files
-case

Voici le Hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:07:17, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB001" /M "Stylus Photo RX700"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Sidesearch - {000007C6-17DF-4438-92A4-DE5537471BA3} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Lyonnais92 · Answer

Bonjour,

l'ordi devrait déjà aller mieux.

On va le nettoyer un peu plus en profondeur.

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur une clé puis copie sur le bureau de l'ordi à traiter.


2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.


(je suppose que cet ordi n'est pas connecté à inernet, sinon, il faudrait y mettre un parefeu.)

vicman · Answer

Bonjour! J'ai fait fonctionner ComboFix sur l'ordi. Il m'a produit un rapport log.txt que voici : ComboFix 07-11-19.4 - Administrateur 2007-11-27 11:21:53.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.734 [GMT 1:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-27 to 2007-11-27 )))))))))))))))))))))))))))))))))))) . 2007-11-23 19:19 d-------- C:\Program Files\Trend Micro 2007-11-22 10:47 d-------- C:\Program Files\Alwil Software 2007-11-22 10:47 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-11-22 10:47 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2007-11-22 10:47 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-11-22 10:47 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-11-22 10:47 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-11-22 10:47 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-11-22 10:47 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-11-22 10:47 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2050-07-06 20:53 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Nikon 2050-07-06 20:52 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLea.DAT 2050-07-06 20:49 --------- d-----w C:\Program Files\Nikon 2050-07-06 20:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ultima_T15 2050-07-06 20:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\EnterNHelp 2007-11-24 11:39 --------- d-----w C:\Program Files\eXact 2007-11-22 10:10 --------- d-----w C:\Program Files\EbatesMoeMoneyMaker 2007-10-01 09:02 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-01 09:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-10-01 09:02 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\EPSON 2007-10-01 09:00 --------- d-----w C:\Program Files\epson 2007-10-01 09:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL 2007-09-28 20:06 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT 2004-11-22 15:23 3,345 ----a-w C:\Program Files\INSTALL.LOG 2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{224530A0-C9CB-4AEE-9C0F-54AC1B533211}"= C:\Program Files\eXact\eXactToolbar.dll [ ] [HKEY_CLASSES_ROOT\clsid\{224530a0-c9cb-4aee-9c0f-54ac1b533211}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:55 C:\WINDOWS\system32 undll32.exe] "SetDefaultMIDI"="MIDIDef.exe" [2003-06-20 11:13 C:\WINDOWS\MIDIDEF.EXE] "Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-10-05 09:52] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:55 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2003-12-11 13:10 C:\WINDOWS\system32 wiz.exe] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2003-07-27 09:15] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2003-12-30 18:10] "Ptipbmf"="ptipbmf.dll" [2003-06-20 08:06 C:\WINDOWS\system32\ptipbmf.dll] "SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 C:\WINDOWS\soundman.exe] "HyperappelPL2003"="C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe" [2003-07-04 13:08] "CTHelper"="CTHELPER.EXE" [2004-02-03 03:30 C:\WINDOWS\system32\CTHELPER.EXE] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-06 20:42] "EPSON Stylus Photo RX700 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.exe" [2004-11-10 04:00] "EEventManager"="C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2004-11-01 16:33] "avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [2007-09-06 12:06] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-20 20:05:52] NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-07-06 20:43:46] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearDocsOnExit"= 64 (0x40) "NoRecentDocsMenu"= 1 (0x1) "NoSMHelp"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoAutoUpdate"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ClearDocsOnExit"= 64 (0x40) "NoRecentDocsMenu"= 1 (0x1) "NoSMHelp"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoAutoUpdate"= 1 (0x1) *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-27 11:22:45 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-27 11:23:04 . --- E O F --- Merci!

Lyonnais92 · Answer

Bonjour,

bon, celui ci est sain maintenant.

Fais la même chose sur l'autre.

vicman · Answer

Re, Voilà pour la seconde machine : ComboFix 07-11-19.4 - grande maud 2007-11-27 12:48:12.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.225 [GMT 1:00] Running from: C:\Documents and Settings\grande maud\Bureau\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-27 to 2007-11-27 )))))))))))))))))))))))))))))))))))) . 2007-11-19 23:26 d-------- C:\Infection 2007-10-30 11:37 d-------- C:\WINDOWS\code de la route 2007-10-29 16:48 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-29 16:48 75,248 --a------ C:\WINDOWS\zllsputility.exe 2007-10-29 16:48 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2007-10-29 16:48 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-10-29 16:47 d-------- C:\WINDOWS\system32\ZoneLabs 2007-10-29 16:47 4,814,880 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-10-29 16:47 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll 2007-10-29 16:47 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys 2007-10-29 16:47 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-10-29 16:47 56,396 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-10-29 16:38 d-------- C:\WINDOWS\Internet Logs 2007-10-29 13:47 d-------- C:\Program Files\Trend Micro . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-24 13:52 --------- d-----w C:\Program Files\HomePlayer1.5.1.2 2007-11-20 00:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-11-17 16:38 --------- d-----w C:\Documents and Settings\grande maud\Application Data\dvdcss 2007-10-29 17:32 --------- d-----w C:\Program Files\Winamp 2007-10-29 15:47 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll 2007-10-23 14:19 --------- d-----w C:\Documents and Settings\grande maud\Application Data\vlc 2007-10-09 18:05 --------- d-----w C:\Documents and Settings\grande maud\Application Data\AdobeUM 2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 09:00] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-07 10:01] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-08 04:40] "AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 16:01 C:\WINDOWS\AGRSMMSG.exe] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 09:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2004-04-07 20:22 C:\WINDOWS\system32 wiz.exe] "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-10-07 02:50] "UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01] "HPHUPD05"="c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-22 19:03] "HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2003-05-22 18:56] "eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-07-30 07:33] "Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-03-01 12:05] "EPSON Stylus Photo RX700 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.exe" [2004-11-10 04:00] "EEventManager"="C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2004-11-01 16:33] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06] "WD Button Manager"="WDBtnMgr.exe" [2006-10-11 08:06 C:\WINDOWS\system32\WDBtnMgr.exe] "HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-05 09:00] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 09:00] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2004-12-14 03:44:06] WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-01-09 20:20:43] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WD Backup Monitor.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WD Backup Monitor.lnk backup=C:\WINDOWS\pss\WD Backup Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2007-07-31 17:44 271672 --a------ C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2004-12-20 19:41 33792 --a------ C:\Program Files\Winamp\winampa.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-27 12:51:47 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe???????????????|?????? ???B???????????????B? ?????? scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-27 12:52:43 . --- E O F ---

Lyonnais92 · Answer

Re,

c'est l'ordi avec le problème sur les clés ?

Prends celle qui fonctionne normalement et insère là.

ouvre l'explorateur Windows, cherche là et clique droit dessus.

Explore les fenêtre, notes les caractéristiques.

remplace par la clé qui démarera automatiquement. Y aurait-il un ou des paramètres différents, en particulier dans exécution automatique. ? Si oui, change les.

vicman · Answer

Re,

le dernier rapport est celui de l'ordi connecté à internet.

Avec les clé USB, ça a encore changé.
Plus aucune ne souvre. Qd je les branche, il ne se passe rien.
Je suis allé dans exécution automatique. J'ai coché "me demander à chaque fois de choisir une action" (qui était déjà coché)," appliquer", "ok",  pour les trois clés et rien n'y fait.

Merci

Lyonnais92 · Answer

Bonjour,

quand tu ouvres l'explorateur Windows, la clé apparait avec la mention Disque amovible ?

tu peux recopier un ficheir dedans ?

vicman · Answer

Re,

Dans l'explorateur, les 3 clés apparaissent  avec la mention Disque Amovible.
Elles marchent d'ailleurs toutes normalement.
Je peux copier et supprimer des fichiers sans problème.
C'est juste qu'au branchement, il ne se passe rien (exepté la petite icone en bas à droite près de l'horloge).
Mais bon, ce n'est peut-être pas si grave...

Merci

Lyonnais92 · Answer

Re,

que voudrais tu qu'il se passe ?

vicman · Answer

Re,

C'est juste qu'avant, au moment du branchement, une fenêtre s'ouvrait automatiquement pour me demander si je voulais lire la musique, afficher les images, ouvrir le dossier ou encore ne rie faire.

Lyonnais92 · Answer

Re,

je viens de regarder avec la mienne;

je suis dans le même cas que toi.

Je  ne pense pas que ce soit du à un virus.

Il y a peut être un réglage que je ne connais pas.

Je te propose d'en rester là.

moe · Answer

Salut vicman, Lyonnais

vicman, ton problème et sa réponse se situent tout les deux au niveau des modifications faites par Flash_Disinfector dans le registre pendant le nettoyage.
Ces modifs là ou elles sont placées, prévallent sur les réglages persos de l'exécution automatique et l'annule.

@+

vicman · Answer

Merci mille fois Lyonnais pour ton aide précieuse!!
J'ai beaucoup appris et je suis, grace à toi, débarassé de mon problème qui à la base était un cheval de troie...

Merci pour ta patience!
A bientôt
Vicman

Lyonnais92 · Answer

Bonsoir,

de rien vicman, it's my pleasure disent les US.

Bon surf.

Merci de ton intervention moe. Toujours instructive.

Trz8D.tmp cheval de troie

84 réponses

Discussions similaires

Newsletters