Infection récurrente (pubs et blocage)Fermé

Question

Bonjour à tous,

J'ai un problème épineux et récurrent sur mon PC : un (ou plusieurs) virus/spyware/adware (bref, un truc que je n'aime pas) me mène la vie dure.

Les symptômes ? 

Des pages de pubs qui s'affichent chaque fois que je navigue sur le web. Aléatoirement. Que je sois sur n'importe quel site. Parfois, cela fait crasher IE. 

Et nouveau depuis quelques jours : après quelques minutes sur le web, je n'arrive plus à m'identifier via les formulaires.
J'ai tenté de m'identifier sur la page de mon opérateur de téléphonie : impossible, je tape mon pseudo et mon pass et dès que je valide, la page se recharge et il ne se passe rien. J'ai tenté sur un forum phpbb dont je suis l'admin : impossible, j'ai indéfiniment la page de connexion. J'ai tenté sur mon phpMyAdmin, idem. Bref, j'ai essayé un peu partout et ça ne fonctionne pas. J'ai peur de ce que cela veut dire !!!

Remarque : je ne peux plus poster non plus sur CE forum (sauf pendant les premières minutes après un reboot du PC).


Suivant les recommandations de Comment ça marche, j'ai donc suivi les étapes suivantes :

- CCleaner
- AVG anti-spyware
- BitDefender en ligne
- Hijackthis

Je colle ci-dessous les rapports d'analyse et je croise les doigts pour qu'une âme charitable me vienne en aide.

D'avance, merci !


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	17:19:49 11/02/2008

 + Résultat de l'analyse:	



C:\WINDOWS\system32\wdcl32.dll -> Adware.Altnet : Nettoyé.
C:\WINDOWS\pcswzyg.exe -> Adware.BetterInternet : Nettoyé.
C:\WINDOWS\update13.js -> Hijacker.StartPage.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\ba\Cookies\ba@www.adserver[2].txt -> TrackingCookie.Adserver : Nettoyé.
C:\Documents and Settings\ba\Cookies\ba@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\ba\Cookies\ba@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport



---------------------------------------------------------
BitDefender Online Scanner
---------------------------------------------------------
  
 
Scan report generated at: Mon, Feb 11, 2008 - 18:14:50
 

Scanned File
  Status
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\ADGJDet.RB0=>(Quarantine-4)
 Infected with: Trojan.Starter.AET
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\ADGJDet.RB0=>(Quarantine-4)
 Disinfected
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\ADGJDet.RB0
 Update failed
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\NeroCheck.RB0=>(Quarantine-4)
 Infected with: Trojan.Starter.AET
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\NeroCheck.RB0=>(Quarantine-4)
 Disinfected
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\NeroCheck.RB0
 Update failed
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\printray.RB0=>(Quarantine-4)
 Infected with: Trojan.Starter.AET
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\printray.RB0=>(Quarantine-4)
 Disinfected
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\printray.RB0
 Update failed
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\UpdReg.RB0=>(Quarantine-4)
 Infected with: Trojan.Starter.AET
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\UpdReg.RB0=>(Quarantine-4)
 Disinfected
 
C:\Program Files\Trend Micro\OfficeScan Client\Backup\UpdReg.RB0
 Update failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP258\A0031760.ini
 Infected with: Trojan.Vundo.DVS
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP258\A0031760.ini
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP258\A0031760.ini
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP259\A0031803.dll
 Infected with: Trojan.Vundo.DSH
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP259\A0031803.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP259\A0031804.dll
 Infected with: Trojan.Vundo.DSH
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP259\A0031804.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP260\A0031828.dll
 Infected with: Trojan.Vundo.DSH
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP260\A0031828.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP261\A0031845.exe=>(Quarantine-4)
 Infected with: Trojan.Fotomoto.H
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP261\A0031845.exe=>(Quarantine-4)
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP261\A0031845.exe=>(Quarantine-4)
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031910.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031910.dll
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031910.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031911.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031911.dll
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031911.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031912.dll
 Infected with: Trojan.Vundo.DSH
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031912.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031913.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031913.dll
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031913.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031914.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031914.dll
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031914.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031915.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031915.dll
 Disinfection failed
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP262\A0031915.dll
 Deleted
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP270\A0032746.exe
 Infected with: Trojan.Spybi
 
C:\System Volume Information\_restore{E9816F7E-ED8E-4924-BA8F-57965594B637}\RP270\A0032746.exe
 Deleted
 
C:\VundoFix Backups\gljsllkx.dll.bad
 Infected with: Trojan.Vundo.Gen.2
 
C:\VundoFix Backups\gljsllkx.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\gljsllkx.dll.bad
 Deleted
 
C:\VundoFix Backups\kkemuwnu.dll.bad
 Infected with: Trojan.Vundo.DSH
 
C:\VundoFix Backups\kkemuwnu.dll.bad
 Deleted
 
C:\VundoFix Backups\llwaewgr.dll.bad
 Infected with: Trojan.Vundo.Gen.2
 
C:\VundoFix Backups\llwaewgr.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\llwaewgr.dll.bad
 Deleted
 
C:\VundoFix Backups\osxxlhba.dll.bad
 Infected with: Trojan.Vundo.DSH
 
C:\VundoFix Backups\osxxlhba.dll.bad
 Deleted
 
C:\VundoFix Backups\qfhruroc.dll.bad
 Infected with: Trojan.Vundo.Gen.2
 
C:\VundoFix Backups\qfhruroc.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\qfhruroc.dll.bad
 Deleted
 
C:\VundoFix Backups\ststv.bak1.bad
 Infected with: Trojan.Vundo.DVS
 
C:\VundoFix Backups\ststv.bak1.bad
 Disinfection failed
 
C:\VundoFix Backups\ststv.bak1.bad
 Deleted
 
C:\VundoFix Backups\uytpojmv.dll.bad
 Infected with: Trojan.Vundo.Gen.2
 
C:\VundoFix Backups\uytpojmv.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\uytpojmv.dll.bad
 Deleted
 
C:\VundoFix Backups\vtsts.dll.bad
 Infected with: Trojan.Vundo.Gen.2
 
C:\VundoFix Backups\vtsts.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\vtsts.dll.bad
 Deleted
 
C:\VundoFix Backups\xseafgjx.dll.bad
 Infected with: Trojan.Vundo.Gen.2
 
C:\VundoFix Backups\xseafgjx.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\xseafgjx.dll.bad
 Deleted
 
C:\WINDOWS\system32\3518tjV7.exe
 Infected with: GenPack:Trojan.Agent.ABQZ
 
C:\WINDOWS\system32\3518tjV7.exe
 Deleted
 
C:\WINDOWS\system32\cpeexxjr.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\WINDOWS\system32\cpeexxjr.dll
 Disinfection failed
 
C:\WINDOWS\system32\cpeexxjr.dll
 Delete failed
 
C:\WINDOWS\system32\kkemuwnu.dll
 Infected with: Trojan.Vundo.DSH
 
C:\WINDOWS\system32\kkemuwnu.dll
 Deleted
 
C:\WINDOWS\system32\xseafgjx.dll
 Infected with: Trojan.Vundo.Gen.2
 
C:\WINDOWS\system32\xseafgjx.dll
 Disinfection failed
 
C:\WINDOWS\system32\xseafgjx.dll
 Deleted
 
  
---------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:23, on 11/02/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
---------------------------------------------------------

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\Program Files\WebDrive\wdservice.exe
C:\WINDOWS\TEMP\FZADC6.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows NT\Pinball\PINBALL.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {219DD5E1-E935-4FCC-903B-2FE3206284FC} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: {b76d7c56-40bf-a0ca-8244-ef7710483c09} - {90c38401-77fe-4428-ac0a-fb0465c7d67b} - C:\WINDOWS\System32\cpeexxjr.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/fr/win/QuickTimeInstaller.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Samain.local
O17 - HKLM\Software\..\Telephony: DomainName = Samain.local
O20 - Winlogon Notify: jkkhecd - jkkhecd.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\WebDrive\wdservice.exe

Utilisateur anonyme · Answer

bonjour fait ceci

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

krokette · Answer

Merci beaucoup de m'avoir répondu.

J'ai suivi le conseil et voici le rapport obtenu :

ComboFix 08-02-13.2 - BA 2008-02-13 16:54:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.614 [GMT 1:00]
Endroit: C:\Documents and Settings\ba\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\ia.inf
C:\WINDOWS\Downloaded Program Files\rave
C:\WINDOWS\Downloaded Program Files\rave\avirexe.vdm
C:\WINDOWS\Downloaded Program Files\rave\avirscr.vdm
C:\WINDOWS\Downloaded Program Files\rave\base.vdm
C:\WINDOWS\Downloaded Program Files\rave\daily.vdm
C:\WINDOWS\Downloaded Program Files\rave\daily.vdt
C:\WINDOWS\Downloaded Program Files\rave\filters.vdm
C:\WINDOWS\Downloaded Program Files\rave\kernel.vdk
C:\WINDOWS\Downloaded Program Files\rave\keyring.vdk
C:\WINDOWS\Downloaded Program Files\rave\mapi_vdm.vdm
C:\WINDOWS\Downloaded Program Files\rave\modules.vdk
C:\WINDOWS\Downloaded Program Files\rave\rav8def.vdm
C:\WINDOWS\Downloaded Program Files\rave\rufs.vdm
C:\WINDOWS\Downloaded Program Files\rave\rufsplg.vdm
C:\WINDOWS\Downloaded Program Files\rave\unarch.vdm
C:\WINDOWS\Downloaded Program Files\rave\unmail.vdm
C:\WINDOWS\Downloaded Program Files\rave\unpack.vdm
C:\WINDOWS\msettings.ini
C:\WINDOWS\system32\cixfhweh.ini
C:\WINDOWS\system32\cpeexxjr.dll
C:\WINDOWS\system32\eahhvxuj.ini
C:\WINDOWS\system32\hfqnlkei.ini
C:\WINDOWS\system32\jnwhthwo.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\veqxapwn.ini
C:\WINDOWS\system32\wtgbvalo.ini
C:\WINDOWS\system32\xjgfaesx.ini
C:\WINDOWS\system32\xwrkyyxb.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-13 to 2008-02-13 ))))))))))))))))))))))))))))))))))))
.

2008-02-11 17:26 . 2008-02-11 18:14 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-02-11 17:00 . 2008-02-11 17:00 <REP> d-------- C:\Documents and Settings\ba\Application Data\Grisoft
2008-02-11 17:00 . 2008-02-11 17:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-11 17:00 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-11 16:46 . 2008-02-11 16:46 <REP> d-------- C:\Program Files\CCleaner
2008-01-17 13:41 . 2008-02-11 18:11 2,302,017 ---hs---- C:\WINDOWS\system32\unwumekk.ini
2008-01-17 13:05 . 2008-02-11 18:02 <REP> d-------- C:\VundoFix Backups

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-11 17:26 --------- d-----w C:\Program Files\Trend Micro
2008-02-11 15:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-29 12:42 --------- d-----w C:\Program Files\DivX
2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2005-12-13 12:57 101,792 ----a-w C:\Documents and Settings\ba\Application Data\GDIPFONTCACHEV1.DAT
2004-06-24 06:32 117,760 --sha-w C:\Program Files\Thumbs.db
2003-12-12 15:53 103,552 ----a-w C:\Documents and Settings\Weben\Application Data\GDIPFONTCACHEV1.DAT
2003-11-13 02:53 4,460 ----a-w C:\Program Files\P.sok
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-10-06 15:16 49152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]
"WINDVDPatch"="CTHELPER.EXE" [2002-02-07 19:01 40960 C:\WINDOWS\system32\CTHELPER.EXE]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2007-09-07 18:08 28672]
"CTStartup"="C:\Program Files\Creative\Splash Screen\CTEaxSpl.exe" [2001-12-20 01:00 28672]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2007-09-07 18:08 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2003-01-25 16:50 77824]
"PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2007-09-07 18:08 36864]
"LXSUPMON"="C:\WINDOWS\System32\LXSUPMON.exe" [2002-03-29 03:44 817664]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-12-16 05:09 372813]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-07-27 09:34 180269]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2007-09-07 18:08 90112]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 15:16 49152]
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2004-10-04 12:03 310272]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkhecd]
jkkhecd.dll

R1 Asapi;Asapi;C:\WINDOWS\System32\drivers\Asapi.sys [2002-04-17 20:27]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 07:14]
R2 WebDriveFSD;WebDrive Filesystem Driver;C:\Program Files\WebDrive\rffsd.sys [2005-01-21 15:25]
S2 gafwload;Eicon Networks USB ADSL Loader;C:\WINDOWS\System32\DRIVERS\gafwload.sys []
S3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;C:\WINDOWS\System32\DRIVERS\AN983.sys [2001-08-17 19:11]
S3 iMSPQMn;iMSPQMn;C:\DOCUME~1\Weben\LOCALS~1\Temp\iMSPQMn.sys []

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-01-29 09:01:57 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-01-29 10:01:00 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-01-31 11:01:56 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-13 12:00:00 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-13 13:00:00 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-13 14:00:00 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-13 15:00:00 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-13 16:00:00 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-11 17:01:05 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-11 18:00:00 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-02-01 19:01:00 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-01-29 20:01:00 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2008-01-29 21:01:00 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 21:01:00 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\System32\3518tjV7.exe
"2007-09-07 17:08:34 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\System32\3518tjV7.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 16:59:46
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run???p???w^?s?????>?wH ?w???????w*??w4???U??w4???????D8?s4???????D:2?????\???\????????H?s????w;?w?????_?w?`?w\???\?????????a??????C@?\???\??????s????\??????s\???(:2?d??s(:2??C@?x??????sx????:?w\?????@

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RFHelper.dll

PROCESS: C:\WINDOWS\explorer.exe [6.00.2600.0000]
-> C:\WINDOWS\System32\RFHelper.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\WebDrive\wdservice.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\BCC5BC.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-13 17:02:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-13 16:02:05

Utilisateur anonyme · Answer

télécharges et installes :http://www.killbox.net/
KillBox de Option^Explicit
Aide Killbox:http://www.killbox.net/help.html

sélectionne entièrement la liste ci-dessous :

C:\WINDOWS\system32\unwumekk.ini



---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici

krokette · Answer

Merci de la réponse ultra rapide ;) Je reprends espoir.
Opération effectuée.
Remarque : la liste ne contenait qu'un fichier.

Voici le résultat:



Pocket Killbox version 2.0.0.881
Running on Windows XP as ba(Administrator)
was started @ mercredi, février 13, 2008, 5:25 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\unwumekk.ini

 
I Rebooted @ 5:26:52 PM
Killbox Closed(Exit) @ 5:26:52 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as BA(Administrator)
was started @ mercredi, février 13, 2008, 5:30 PM

Utilisateur anonyme · Answer

ok on est quasiment arrive au bout 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

krokette · Answer

Et voila, nouvelle étape terminée.

Petite remarque :
En mode sans échec, je n'ai pas pu ouvrir mon compte habituel (BA). Je me suis donc identifié comme administrateur.

Voici le rapport (j'ai remplacé certaines parties de lignes par [confidentiel]).


SDFix: Version 1.142

Run by [confidentiel] on mer. 13/02/2008 at 18:19

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found






Removing Temp Files...

ADS Check:
 


                                 Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 18:24:47
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\Documents and Settings\ba\Bureau\[confidentiel].pdf 91537 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Mon  5 Feb 2001        34,331 ...H. --- "C:\Compaq\Monitors\INSTALL.EXE"
Mon 20 Aug 2001        65,536 ...H. --- "C:\Program Files\[confidentiel]\[confidentiel].exe"
Mon 20 Aug 2001       577,536 ...H. --- "C:\Program Files\[confidentiel]\[confidentiel].exe"
Fri 27 Feb 2004         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 31 Mar 2004           401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv18.bak"
Wed 31 Aug 2005           400 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.bla.bak"
Wed 31 Aug 2005            48 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.sec.bak"
Tue 28 Jun 2005        39,936 ...H. --- "C:\Documents and Settings\ba\Bureau\[confidentiel]\~WRL3259.tmp"
Wed 18 Jan 2006        47,104 ...H. --- "C:\Documents and Settings\ba\Bureau\[confidentiel]\~WRL1857.tmp"
Tue  2 Oct 2007       130,560 ...H. --- "C:\Documents and Settings\ba\Bureau\[confidentiel]\~WRL2764.tmp"
Tue  2 Oct 2007        67,584 ...H. --- "C:\Documents and Settings\ba\Bureau\[confidentiel]\~WRL3107.tmp"

Finished!

Utilisateur anonyme · Answer

comment celas tu n'a pu ouvrire ton compte usuel ?? d'habitude tu utilise bien un compte utilisateur ?

krokette · Answer

Le PC est sur un réseau.

Il y a deux profils pour ce PC : BA et "X"

"X" est admin, mais lorsqu'il se utilise le PC, il n'est pas relié au réseau.

BA n'est pas admin, mais il est relié au réseau.

Lors du démarrage en mode sans échec, j'ai voulu m'identifier sous le profil BA, comme à chaque fois. Mais ça n'a pas fonctionné. J'avais un message d'erreur comme quoi mon mot de passe était incorrect alors que je n'ai pas de mot de passe.

Je me suis donc identifié sous le profil "X", sans problème. SDFix a continué son job et a rebooté.

Au reboot, je me suis identifié sous BA, sans problème.

Crois-tu que ça a pu empêcher la réparation correcte ou puis-je considérer que le PC est clean ? Je vais relancer un petit test spyware AVG par prudence et je te donne le résultat (probablement demain, je dois bientôt partir). 

Quoiqu'il en soit, un grand merci. Je n'ai rien compris à ce que ces utilitaires ont fait, mais tant que ça fonctionne, je suis aux anges.

Utilisateur anonyme · Answer

nouvel citation pour kill box

C:\WINDOWS\System32\3518tjV7.exe

copie moi le rapport

krokette · Answer

J'ai relancé KillBox comme demandé, mais quand j'ai mis paste from clipboard, il n'a rien collé. Je l'ai tapé manuellement mais il ne semblait pas reconnaître ce fichier. J'ai lancé quand-même.

Autre détail, il semble que le profil BA soit administrateur et que "X" ne le soit pas, contrairement à ce que j'ai indiqué tout à l'heure. Mea culpa. Je ne sais pas si ça a une importance.


Voici le rapport :

Pocket Killbox version 2.0.0.881
Running on Windows XP as ba(Administrator)
was started @ mercredi, février 13, 2008, 5:25 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\unwumekk.ini

 
I Rebooted @ 5:26:52 PM
Killbox Closed(Exit) @ 5:26:52 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as BA(Administrator)
was started @ mercredi, février 13, 2008, 5:30 PM
 
Killbox Closed(Exit) @ 5:30:28 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as BA(Administrator)
was started @ mercredi, février 13, 2008, 8:30 PM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\System32\3518tjV7.exe

 
I Rebooted @ 8:32:38 PM
Killbox Closed(Exit) @ 8:32:38 PM
__________________________________________________
 
Pocket Killbox version 2.0.0.881
Running on Windows XP as BA(Administrator)
was started @ mercredi, février 13, 2008, 8:36 PM

Utilisateur anonyme · Answer

bonjour c'est quelle session qui est infectee l'administrateur ou le compte utilisateur ?

krokette · Answer

C'est la session BA, donc l'administrateur d'après ce que j'ai compris.
C'est celle qui n'a pas voulu démarrer en mode sans échec.

Utilisateur anonyme · Answer

bonsoir ,ok donc rend toi sur la session  qui est infectee et fait ceci


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :



C:\WINDOWS\system32\unwumekk.ini
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\System32\3518tjV7.exe
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
copie et colle le rapport ici
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Infection récurrente (pubs et blocage)

13 réponses

Discussions similaires

Newsletters