[Résolu] Virus "Police et gendarmerie ...a été révélè"

Salut à tous,

Après avoir longuement lu les différentes manip pour éradiquer ce virus je m'en remet à vous pour m'aider..
j'ai suivi les manip très claires des différents post ... j'ai pu lancer un scan OTL, et je vous laisse juger du resultat :

http://pjjoint.malekal.com/files.php?id=20120918_b7i12y15j11x7

C'est grave doc?

merci d'avance.

Salut Ottowild

Sois le bienvenu sur le forum. Petite question avant de commencer, es tu aidé sur un autre forum ?

Salut Gros Bébé,

Non du tout.
je me suis inscrit ici car j'y ai trouvé mon problème.
Pas d'autre forum.

Bonjour Ottowild

Ok, je te posais la question car je te voyons utiliser OTLPE ainsi que pjjoint d'entrée de jeux, j'ai eu un doute


==================================================================================

Tu as été infecté probablement car ton pc n'est pas à jour. A Côté de cela, et sauf erreur de ma part, ton système semble être "illégale", sache que les logiciels que je vais te demander d'utiliser peuvent rendre ton système instable voire HS car ils n'ont été testés que sur des versions "légales" de Windows.

Si malgré tout, tu souhaites tenter ta chance, lis la suite.


==================================================================================

Est ce que tu arrives à démarrer en mode sans échec ? Démarrer en mode sans échec avec XP


Bonne journée

Salut Gros Bébé,

C'est parce que j'ai lu des post sur ce site que j'ai pu me munir d'OTLP et pjoint
c'est un pote à moi qui m'a installé xp...peut importe si tes manip rende mon système instable.
si je peux au moins sauver quelques données!.

Non je ne peux pas démarrer en mode sans echec, d'ou l'utilisation d'OtLP.

Merci à toi

Salut


Quel est le problème avec le mode sans échec ? (message d'erreur, écran bleu, écran noir, etc.)
Apparemment, tu as eu un vilain virus en fin d'année dernière et le nettoyage a été incomplet. Tu as aussi installé quelques logiciels potentiellement indésirables (PUP). Il y a donc pas mal de choses à enlever, ça va nous prendre un peu de temps.


===========================================================================================

Relance OTLPE
Quand le bureau a fini de se charger, double clique sur l'icône d'OTLPE que tu trouveras sur le bureau.

• A cette question : "Do you wish to load the remote registry", clique sur YES
  A cette question : "Do you wish to load remote user profile(s) for scanning", clique sur YES
  Sélectionne ton nom de session et vérifie que "Automatically Load All Remaining Users" est cochée et clique sur OK.
  
  

OTL se lance

• Dans le cadre Custom Scan/Fix qui est en bas, colle le contenu du cadre ci dessous :
  
  

  Citation :

  
  :OTL
  SRV - File not found [Auto] -- -- (ceclwiwsj)
  O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
  O3 - HKU\Gaucho_ON_C\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
  O3 - HKU\Gaucho_ON_C\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
  O4 - HKLM..\Run: [KernelFaultCheck] File not found
  O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\03OhmWv.exe ()
  O4 - HKU\Gaucho_ON_C..\Run: [Search Protection] File not found
  O4 - HKU\Gaucho_ON_C..\Run: [Update] C:\WINDOWS\system32\03OhmWv.exe ()
  [2012/09/15 14:19:54 | 000,142,336 | ---- | M] () -- C:\WINDOWS\System32\03OhmWv.exe
  [2011/10/11 10:37:44 | 000,000,216 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\~6DSS92c31Apgjkr
  [2011/10/11 10:37:43 | 000,000,296 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\~6DSS92c31Apgjk
  [2011/10/11 10:37:37 | 000,000,336 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\6DSS92c31Apgjk
  [2012/07/19 15:49:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gaucho\Application Data\Babylon
  [2011/10/31 11:22:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gaucho\Application Data\OpenCandy
  [2011/02/10 05:35:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gaucho\Application Data\WhiteSmoke

  Puis clique sur le bouton Run Fix en haut.
  
• Laisse OTLPE tourner.

===========================================================================================

Dès qu'il a fini, essaie de voir si Windows se lance normalement. Si ce n'est pas le cas, relance OTLPE, clique juste sur Run Scan (sans rien faire d'autre) et transmets moi le rapport s'il te plait.

Si Windows se lance, indique moi quel(s) problème(s) tu rencontres, et utilise Malwarebytes et OTL, c'est expliqué ci dessous :



Clique ici pour télécharger MalwareByte's Anti-Malware sur ton bureau.

• Installe le programme
  
• Lance-le et mets à jour la base de définition en allant dans l'onglet "mise à jour" puis "Recherche de mise à jour".
  
• Choisis "Exécuter un examen rapide" puis Rechercher
  
• Laisse l'analyse se faire (cela peut durer longtemps).
  
  Une fois le scan terminé, clique sur "Afficher les résultats", vérifie que les éléments trouvés soient cochés puis sur Supprimer la sélection" en bas.
  
  
• Un redémarrage peut être nécessaire.

Un rapport va s'afficher, enregistre-le sur ton bureau. Sinon, après le démarrage, il se trouvera dans l'onglet Rapports/logs de Malwarebyte[/list]
Poste le rapport svp

Une aide à l'utilisation ici

ENSUITE

• Clique ici pour télécharger OTL (de Old Timer) sur ton bureau
  
• Double clique sur OTL.exe pour le lancer.
  
• Coche Recherche Lop et Recherche Purity
  
• Sous Personnalisation (en bas), copie/colle ceci
  
  netsvcs
  msconfig
  %SYSTEMDRIVE%\*.*
  %PROGRAMFILES%\*.*
  %PROGRAMFILES%\*.
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\assembly\GAC_32\*.ini
  %systemroot%\assembly\GAC_64\*.ini
  %systemdrive%\$Recycle.Bin|@;true;true;true
  %Temp%\smtmp\1\*.*
  %Temp%\smtmp\2\*.*
  %Temp%\smtmp\3\*.*
  %Temp%\smtmp\4\*.*
  %systemroot%\*. /mp /s
  /md5start
  consrv.dll
  explorer.exe
  winlogon.exe
  Userinit.exe
  svchost.exe
  services.exe
  /md5stop
  SAVEMBR:0
  CREATERESTOREPOINT
  
  
• Ferme toutes tes fenêtres, puis clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  
  
  
  • A la fin du scan, deux rapports s'ouvriront (OTL.Txt et Extras.Txt). Héberge chaque rapport, puis transmets moi les 2 liens s'il te plait.
  
  PS : Les rapports sont aussi enregistrés sur le bureau

===========================================================================================

Je me reconnecte ce soir
Bonne journée.

Salut Gros Bébé,

Alors j'ai fait toute les manip que tu m'as dit...tout à l'air stable...merci beaucoup j'ai pu sauver mes données en tous cas. Windows s'ouvre normalement

voici les rapports que tu me demandais :

OTLPE :
http://pjjoint.malekal.com/files.php?id=20120919_k13w15q13x12i14

MWB :
http://pjjoint.malekal.com/files.php?id=20120919_p7b15d1212q15


Pour les rapports OTL hé bien en fin de scan il m'en affiche deux... mais ils sont vides avec le message :
"Le chemin d'accès spécifié est introuvable"

Merci encore de ton aide

Salut Ottowild

Le plaisir est pour moi


Les personnes qui me disent qu'elles ont récupéré leurs données me disent parfois qu'elles vont formater, est ce que tu as dans l'idée de le faire ? Si non, alors lis la suite s'il te plait

Tu devrais normalement avoir 2 fichiers (OTL.txt et extras.txt) sur ton bureau. Est ce qu'ils sont vides aussi ?
- Si ce n'est pas le cas, transmets les moi s'il te plait.
- Si c'est le cas, relance une fois de plus OTL comme je te le demandais dans mon dernier message.


Bonne soirée et/ou à plus tard.

Oui Super Nikel...
pour le moment tout fonctionne donc je ne souhaite pas reformater pour le moment?

Sinon oui les fichiers sont vides et ils ne sont pas apparent sur mon bureau...même après avoir relancé OTL...toujours le même message avec les fichiers texte vides...

Encore un Super Merci Mister Gros Bébé !!

Et à bientôt

C'est peut être un hasard, mais ...


Télécharge Combofix sur ton bureau depuis ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ferme toutes tes fenêtres et désactive tes logiciels de sécurité.

Double clique sur Combofix pour le lancer et suis les instructions à l'écran. Pendant qu'il travaillera, ne touche plus à rien.
A priori il va redémarrer la machine, laisse le faire.
A la fin, il te fournira un rapport dont j'aurai besoin, copie/colle son contenu ici svp.

Une aide en image disponible ici

Ok c'est fait voila le rapport :

ComboFix 12-09-18.07 - Gaucho 19/09/2012 21:16:43.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2815.2277 [GMT 2:00]
Lancé depuis: c:\documents and settings\Gaucho\Bureau\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Gaucho\Application Data\inst.exe
c:\documents and settings\Gaucho\Application Data\vso_ts_preview.xml
c:\documents and settings\Gaucho\WINDOWS
c:\program files\AutocompletePro
c:\program files\AutocompletePro\AutocompletePro.dll
c:\program files\AutocompletePro\chrome\autocompleteprochrome.crx
c:\program files\AutocompletePro\FireFoxExtension.exe
c:\program files\AutocompletePro\InstTracker.exe
c:\program files\AutocompletePro\support@predictad.com\chrome.manifest
c:\program files\AutocompletePro\support@predictad.com\chrome\content\browserOverlay.xul
c:\program files\AutocompletePro\support@predictad.com\chrome\content\options.js
c:\program files\AutocompletePro\support@predictad.com\chrome\content\options.xul
c:\program files\AutocompletePro\support@predictad.com\chrome\content\utils.js
c:\program files\AutocompletePro\support@predictad.com\defaults\preferences\predictad.js
c:\program files\AutocompletePro\support@predictad.com\install.rdf
c:\program files\AutocompletePro\unins000.dat
c:\program files\AutocompletePro\unins000.exe
c:\program files\QuestScan
c:\program files\QuestScan\uninstall.exe
c:\windows\system\Pncrt.dll
c:\windows\system32\dllcache\dlimport.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-08-19 au 2012-09-19 ))))))))))))))))))))))))))))))))))))
.
.
2012-09-20 01:19 . 2012-09-20 01:19 -------- d-----w- C:\_OTL
2012-09-19 15:24 . 2012-09-07 15:04 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-09-18 19:50 . 2012-09-18 19:50 -------- d-----w- C:\Malwarebytes' Anti-Malware
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-22 08:24 . 2012-04-11 20:55 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-22 08:24 . 2011-05-13 09:29 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2006-05-03 10:06 163328 --sha-r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 31232 --sha-r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 216064 --sha-r- c:\windows\system32\nbDX.dll
2010-01-06 22:00 107520 --sha-r- c:\windows\system32\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"RTHDCPL"="RTHDCPL.EXE" [2009-07-20 18670592]
"USBDetector"="c:\usbstorage\USBDetector.exe" [2003-04-01 53248]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-10-24 421888]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Gaucho\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40 155648 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Adobe\\Adobe After Effects 7.0\\Support Files\\AfterFX.exe"=
"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3474:TCP"= 3474:TCP:zwdrwr
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04/08/2009 09:16 721904]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [13/06/2011 16:15 218688]
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [19/09/2012 17:24 399432]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [03/08/2009 06:15 45824]
S2 ceclwiwsj;Image Universal;c:\windows\system32\svchost.exe -k netsvcs [05/08/2004 14:00 14336]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [19/09/2012 17:24 676936]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [11/04/2012 22:55 250056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [11/07/2009 17:02 1684736]
S3 Installer Service;Installer Service;c:\documents and settings\All Users\Application Data\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{6339663B-F26F-4FE3-B813-0E1DEC4ED976}\Installer\InstallerService.exe [20/11/2011 17:36 119296]
S3 KLSIENET;Pilote de carte Ethernet USB;c:\windows\system32\drivers\usb101et.sys [11/07/2009 23:26 32384]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19/09/2012 17:24 22856]
S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [03/08/2009 06:15 56960]
S3 Pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [24/06/2010 17:25 47360]
S3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [12/10/2011 11:43 111744]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 14:32 8192 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1FF-37FF-4bFF-8CFF-4F3A747040FF}]
2009-03-08 02:32 128512 ----a-w- c:\windows\system32\advpack.dll
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 08:24]
.
2012-02-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
------- Associations de fichier -------
.
.txt=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-Rainbow Sentinel Driver - c:\windows\SYSTEM32\RNBOSENT\SETUPX86.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-09-19 21:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\GenArts\Sapphire AE\Install-{4E41A485-04D4-CF7C-6CE3-27F7BEAE7048}\Data*]
@DACL=
"CTE_32 Name"="738475:{C3B8A1BC-8B18-94D5-AD04-2B3354994626}"
.
[HKEY_LOCAL_MACHINE\software\GenArts\Sapphire AE\Install-{7F91A45B-6B5F-C2EA-301C-C31FD25A9C54}\Data*]
@DACL=
"Templates"="-1:{5FD13A4A-FC54-8A9D-247A-7153B0B91418}"
.
[HKEY_LOCAL_MACHINE\software\GenArts\Sapphire AE\Install-{EC3F6705-85EF-4FB1-4E30-80781324E273}\Data*]
@DACL=
"DefaultSettings"="99:{C6DDA450-F687-55DF-CA23-1A5083308C5D}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\DirectInput\Compatibility\CLIENT2._EXE35FEFABD00088200*]
@DACL=
"MaxDeviceNameLen"="01C/28f0000¹\06Á17be["
"NoPollSucceed"="{7AC0593C-B128-0989-34F8-215DB5D743D0}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install*Loc\VxDs]
@DACL=
"CTE_32 Name"="2455467:{301564B2-67A6-1A66-9C4E-A1FE91DE9752}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Current Version\{974B9511-91D5-AEE4-5E77-0AF54DD3BA55}\Install*Loc\VxDs]
@DACL=
"Templates"="2455415:{E1E6CBBC-E7CA-AB6C-D7EB-63563C5B204D}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Install*Loc\xga-1-{446386FB-BEFD-05B8-1BC8-4FBD7D221443}\Version 1.1]
@DACL=
"dat"="806585365:{9EA93B96-F1F8-D9C1-3DED-73238F823679}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Install*Loc\xga-1-{6618F2B0-870F-76BE-18B1-15A13F3914B2}\Version 1.1]
@DACL=
"dat"="806586365:{397AEE86-1612-804A-5C68-AB4B7D4C5F2C}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\z*\{{05FF8CB8-4942-FCF6-301D-6930181DE865}}]
@DACL=
"DefaultSettings"="2455488:{37C8840C-72FD-B1F6-4FC1-23A6EF5B6255}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\z*\{{62148CCA-49D6-61B1-542F-6B093502D815}}]
@DACL=
"WinXP"="2048:{83CB76E3-95AF-3149-EB35-9E15F6375F54}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\z*\{{6BB58B63-B471-DBB2-FF15-E5C1604D6F66}}]
@DACL=
"Templates"="4356:{F779BA6E-CD26-8029-A255-1A7CE3781BE4}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\{775A5DE9-0292-D603-355A-E56AE3ECF193}*\Install*Loc\xga-1\dat]
@DACL=
"default"="516232150:{60F78188-C979-7E10-8D3E-6D8BDF4CAE51}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\{F0B95AEF-C661-0BBC-A492-DFA4AFAFC487}*\Install*Loc\xga-3\dat]
@DACL=
"default"="516231949:{37132222-58A5-0857-3F5C-54BB397E7600}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Install VBX*\Current*Version\Install*Loc\xga-1-{446386FB-BEFD-05B8-1BC8-4FBD7D221443}\Version 3.x]
@DACL=
"dat"="1767914624:{8947596E-CEFD-3748-F76E-29E7561EDA0E}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Install VBX*\Current*Version\Install*Loc\xga-1-{6618F2B0-870F-76BE-18B1-15A13F3914B2}\Version 3.x]
@DACL=
"dat"="1767914624:{F518C301-0C31-6426-E59A-418C2DB1287F}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll*]
@DACL=
"AplicationGoo"="d1)#28¾04b0?álb372Ö"
"ChkAppHelp"="{6DD412F2-52BA-44F8-61F2-CB376CBEE2E9}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\WinXGA*\Providers*\{D41D8CD9-8F00-B204-E980-0998ECF8427E}\Current*Set\xga-1\ver]
@DACL=
"KnownSvcs"="923714857:{51A63FED-76FF-5E49-60FE-63C5C695A37E}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\WinXGA*\Providers*\{D41D8CD9-8F00-B204-E980-0998ECF8427E}\Current*Set\xga-3\ver]
@DACL=
"KnownSvcs"="923715058:{CA8C63AF-05B4-785C-00D8-80B86A5687F5}"
.
[HKEY_LOCAL_MACHINE\software\XBMga*\UUIDs\{1A8B53E4-05B7-3990-C957-7EEC9C1EB0C2}\xga-1\Install*Loc]
@DACL=
"{19620715-0001-1211-574574-30001}"="234521853:{252DF156-3460-004E-363A-D37C9A11088A}"
.
[HKEY_LOCAL_MACHINE\software\XBMga*\UUIDs\{47A51170-B0EC-D49C-9621-5102E140954D}\xga-3\Install*Loc]
@DACL=
"{19620715-0001-1211-574574-30001}"="234521638:{477911C3-3C11-8540-CEA1-6E9039543074}"
.
[HKEY_LOCAL_MACHINE\software\xGenArts\Sapphire AE\DLL ver*\{A6D90D08-68DD-2B46-E2AC-5782669B2696}]
@DACL=
"CTE_32 Name"="0:{19C42D30-D844-8A07-12A4-E783E7D228F7}"
.
[HKEY_LOCAL_MACHINE\software\xGenArts\Sapphire AE\DLL ver*\{C0984C48-3A57-C216-0D35-7D09B0A0D97E}]
@DACL=
"Templates"="-4571:{7E0C5D36-BFDD-4B84-F80D-AAF2A0F840A6}"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2012-09-19 21:24:45
ComboFix-quarantined-files.txt 2012-09-19 19:24
.
Avant-CF: 132 959 191 040 octets libres
Après-CF: 134 835 048 448 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 45B00AA62CE9497B2E924333C9749FC6


Et voilou!
merci

Et bien il y en a des choses. Par contre, il manque un antivirus ...


=============================================================================

1. Ouvre le bloc note
Si tu ne sais pas faire, clique sur démarrer, puis sur exécuter, et tape notepad.exe dans la fenêtre qui s'ouvre, valide.

Copie/colle le contenu du cadre ci dessous dans le bloc note que tu viens d'ouvrir

Citation :

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3474:TCP"=-

Driver::
ceclwiwsj

NetSvc::
ceclwiwsj

Enregistre le bloc note sous le nom CFScript.txt sur le bureau

2. Ferme toutes fenêtres.

3. Désactive à nouveau tous tes logiciels de sécurité pour que ceux ci n'interfèrent pas avec Combofix

4. Clique sur CFScript.txt et fais le glisser sur Combofix.exe


Combofix va se relancer, ne touche plus à rien, laisse le travailler

Quand il aura fini, un rapport sera créé, poste le moi svp (tu le trouveras aussi ici C:\ComboFix.txt).


=============================================================================

Clique ici pour télécharger AdwCleaner sur ton bureau
Lance AdwCleaner.exe
Accepte l'avertissement qui suit, et clique sur Suppression
Patiente le temps de la suppression, puis poste le rapport qui apparait à la fin.

Une aide en image ici


=============================================================================

Bonne soirée

OK chef

voici le rapport combo fix :
http://pjjoint.malekal.com/files.php?id=20120919_w13p7m8r14k13

et le adw :
http://pjjoint.malekal.com/files.php?id=20120919_d10h15u14x14x7

Merci encore

Bonjour Ottowild

Ça m'a l'air pas mal. Tu vois quelque chose d'étrange de ton côté ?


============================================================================

Un antivirus actif sur ton pc aurait peut être empêché l'infection de s'installer. Il y a une raison particulière au fait que tu n'aies pas d'antivirus ?

Installe un antivirus s'il te plait et effectue une analyse de ton système avec. Tu trouveras une liste d'antivirus gratuits dans ce sujet : http://www.bibou0007.com/t223-configuration-conseillee-par-toute-l-equipe
Ou si tu le souhaites, une liste d'antivirus payants, mais gratuits pour une certaine durée, dans ce forum : http://www.bibou0007.com/f5-liens-utiles

Si, éventuellement, tu ne souhaites pas installer un antivirus, alors effectue une analyse en ligne et transmets moi le rapport s'il te plait. Tu peux utiliser soit Eset Online Scanner, soit BullGuard Online Scanner :
Tutoriel BullGuard Online Scanner (dans le type d'analyse, choisis System Scan)
Tutoriel Eset Online Scanner


============================================================================

Bonne journée

Merci pour tes recommandations!

j'ai installé Avast et après un scan prolongé il ne m'a rien detecté du tout!
Merci beaucoup pour tes super manip et conseils...T'es un King!
Bonne soirée à toi

Otto

Salut


Ok, on va retirer tout ce que je t'ai demandé d'utiliser.

Clique ici pour télécharger Delfix sur ton bureau.

• Lance le et clique sur "Suppression".
  Quitte Delfix, puis relance le pour cliquer sur "Désinstallation".

Supprime les éventuels rapports et logiciels qui resteraient sur ton bureau.
Conserve Malwarebytes, c'est un des meilleurs dans son domaine. Utilise le régulièrement (1 fois par semaine ou toutes les 2 semaines en analyse rapide et après l'avoir mis à jour)
Tutoriel mettre à jour manuellement Malwarebytes' Anti-malware
Tutoriel Malwarebytes antimalware


======================================================================

Désactive puis réactive la restauration du système : Tutoriel désactiver la restauration du système dans Windows XP


======================================================================

Police et gendarmerie s'est installé probablement parce que ton système n'est pas à jour.
Utilise cet utilitaire pour vérifier et mettre à jour si besoin certains éléments critiques de ton système : http://www.bibou0007.com/t5240-sx-checkupdate

Je t'invite également à faire tes mises à jour de logiciels. Pour cela tu peux par exemple utiliser SECUNIA PSI :
Tutoriel Secunia PSI 2.0
Tutoriel Secunia PSI 3.0


======================================================================

Fais également attention à ce que tu télécharges, tu avais quelques logiciels potentiellement indésirables : http://forum.security-x.fr/securite-generale/stop-la-pub/


======================================================================

Voilà, si tu as des questions, n'hésite pas, sinon c'est bon pour moi

Yes encore merci à toi pou ce post.
j'étais en déplacement.
une petite question mon pote qui m'avais à l'époque installé xp sur mon Asus F7Zseries avait galéré pour me trouver un driver pour mes port usb 2... ce qui fait que mon xp mache très bien mais l'utilisation de mes port usb sont lent et laborieux...une idée sur le problème?

Config :
Asus FZ7 series
CPU : Ath.64 QL62

Peut être dois je poster ça ailleurs?

Merci en tous cas de ton aide

Otto

Salut

ottowild a écrit:

Peut être dois je poster ça ailleurs?

Essaie les 2 manips ci dessous. Si aucune ne règle le souci, alors oui, il faudrait créer un sujet ici : http://www.bibou0007.com/f93-materiel

1ère solution : http://support.asus.com/download/options.aspx?SLanguage=en
En bas à gauche, dans le cadre "Model Automatic Detection", clique sur "Start" pour lancer la détection et voir ce que ça te dit.

2ème solution : http://www.ma-config.com/fr
Clique sur le gros bouton vert "Démarrer la détection" et vois ce que ça te trouve.

Bon week end

Merci du tuyau.
J'avais déja fait ça mais ça n'a rien changé.
Je vais tenter le post sur le forum!

Merci merci merci pour ton aide précieuse Gros Bébé !

A bientôt

Otto

Le plaisir a été pour moi

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par Messagerie Privée en précisant la raison et le lien vers ce sujet.
Ceci ne s'applique qu'à Ottowild.
Pour les autres, créez votre propre sujet svp.