[Réglé] ALERTE AVAST

[dodremi]

Bonjour
Qui peut m'aider ?
Hier j'ai eu un virus par le biais d'une "TOLLBAR" qui s'est installé et qui me demandait de payer pour m'en sortir, bref, sans payer je m'en suis sorti.
Sauf que en même temps , j'ai eu des alertes message AVAST qui me dit que je recois des tas de mails identiques, alors que je ne fais rien !
Le seul moyen que j'ai trouvé est de suspendre avast sur la messagerie, et je ne pense pas que ce soit la meilleure solution...
Quelqu'un a t il un moyen plus radical pour stopper cette invasion ?
MErci d'avance

[Pac428]

Salut et bienvenue Dodremi.

... remet Avast en service tout de suite

et lance un scan au démarrage.

Ensuite installes télécharge et exécute MBAM
tutoriel-malwarebytes-anti-malware-vt-46564.html
et envoie nous le rapport stp.

après on voit.

++

[dodremi]

Bonjour, merci pour ton aide ...

Ca y est j'ai fait tout ce que tu m'as indiqué, sachant que cette manipulation jusqu'à la suppression je l'avais faite hier soir.
Mais je l'ai refaite et voici le rapport :
En attendant ta réponse je redémarre l'ordi comme demandé à la fin du processus

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3813
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

02/03/2010 17:22:33
mbam-log-2010-03-02 (17-22-33).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 324596
Temps écoulé: 2 hour(s), 22 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\vaitt.sys (HackTool.Agent) -> Delete on reboot.

[Pac428]

Bon ben super !

Refais tourner MBAM en mode rapide stp, voir s'il ne trouve plus rien.

Après peux-tu nous poster un rapport Hijackthis, pour finir de vérifier ?

Si besoin : > tuto <

++ Dodremi

[dodremi]

Re,

j'ai fait à nouveau un MBAM rapide, et j'ai toujours la même erreur...Dois faire la manip du HijacThis ?

Je te mets le rapport quand même ...
Merci de ta réponse

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3813
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

02/03/2010 19:32:25
mbam-log-2010-03-02 (19-32-25).txt

Type de recherche: Examen rapide
Eléments examinés: 152792
Temps écoulé: 16 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\vaitt.sys (HackTool.Agent) -> Delete on reboot.

[bernard53]

Bonsoir

Ton rootKit est toujours actif.

fait ceci.

Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme



***ATTENTION** NE LANCE PAS COMBOFIX.

fait ceci .

Pour vista

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\desktop\CFScript.txt" 0

Pour XP

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

KillAll::

Rootkit::
C:\Windows\system32\Drivers\vaitt.sys

File::
C:\Windows\system32\Drivers\vaitt.sys

RegLockDel::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaitt]

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[dodremi]

Bonsoir

Voilà c'est fait et je joins le rapport.
J'ai relancé mon antivirus (combofix me l'avait fait stoppé)

Pour le moment tout va bien, j'attends demain pour vous tenir informé...

Merci de votre aide.
Bonne soirée



ComboFix 10-03-01.04 - Compaq_Propriétaire 02/03/2010 20:49:15.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.382.121 [GMT 1:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Compaq_Propriétaire\Bureau\CFScript.txt
AV: avast! antivirus 4.7.1098 [VPS 080215-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\system32\Drivers\vaitt.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ps2.bat
c:\windows\system32\SIntf16.dll
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_vaitt
-------\Service_vaitt


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-02 au 2010-03-02 ))))))))))))))))))))))))))))))))))))
.

2010-03-01 19:11 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-01 19:11 . 2010-03-01 19:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-01 19:11 . 2010-03-01 19:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-01 19:11 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-13 11:23 . 2010-02-13 11:23 -------- d-----w- c:\program files\Barbie(TM)
2010-02-13 10:50 . 2010-02-13 10:50 -------- d--h--w- c:\windows\PIF
2010-02-10 09:04 . 2010-02-10 09:04 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-02-10 08:59 . 2010-02-10 08:59 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2010-02-08 17:55 . 2010-02-09 18:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Electronic Arts
2010-02-08 17:55 . 2010-02-08 17:55 -------- d-----w- C:\ProgramData
2010-02-08 17:53 . 2010-02-08 17:53 -------- d-----w- c:\program files\Microsoft WSE
2010-02-08 17:53 . 2010-02-09 16:54 -------- d-----w- c:\windows\SxsCaPendDel

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 19:00 . 2010-03-01 19:00 16 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
2010-02-27 11:00 . 2005-01-01 18:51 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-22 11:11 . 2007-06-24 17:15 -------- d-----w- c:\program files\Ubisoft
2010-02-11 17:52 . 2009-07-25 14:02 -------- d-----w- c:\program files\Clé Internet de prêt
2010-02-10 18:59 . 2008-08-22 08:39 -------- d-----w- c:\program files\Google
2010-02-10 12:39 . 2007-08-22 15:43 -------- d-----w- c:\program files\Electronic Arts
2010-02-09 17:04 . 2009-02-18 19:10 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-01-16 19:51 . 2008-07-06 17:07 -------- d-----w- c:\program files\PhoTags Express
2009-12-19 09:57 . 2004-11-23 21:26 78296 ------w- c:\windows\system32\perfc00C.dat
2009-12-19 09:57 . 2004-11-23 21:26 476662 ------w- c:\windows\system32\perfh00C.dat
2008-04-03 16:28 . 2008-04-03 16:27 48 -csh--w- c:\windows\S7AA6A2BE.tmp
2005-10-30 06:58 . 2007-06-24 20:03 32 -csha-w- c:\windows\SMINST\HPCD.SYS
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-01-27 251264]
"Magentic"="c:\progra~1\Magentic\bin\Magentic.exe" [2008-03-09 480648]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-24 68856]
"Google Update"="c:\documents and settings\Compaq_Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-18 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-06 339968]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]
"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"MMTray"="c:\program files\MusicMatch\MusicMatch Jukebox\mm_tray.exe" [2000-08-17 102400]
"RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2007-06-24 26112]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
La ChaŒne M‚t‚o.lnk - c:\program files\La ChaŒne M‚t‚o\La ChaŒne M‚t‚o.exe [2009-12-7 95232]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
MioSync.lnk - c:\program files\Mio Technology\MioSync\mioSync.exe [2007-7-11 638976]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImLc.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncrediMail_Install.exe"=
"c:\\Program Files\\Magentic\\bin\\MgImp.exe"=
"c:\\Program Files\\Magentic\\bin\\Magentic.exe"=
"c:\\Program Files\\Magentic\\bin\\MgApp.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/02/2010 09:59 135664]
.
Contenu du dossier 'Tâches planifiées'

2009-12-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 08:59]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 08:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Add animation to IncrediMail Style Box - c:\program files\IncrediMail\bin\resources\WebMenuImg.htm
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.11\AMVConverter\grab.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.11\MediaManager\grab.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKLM-Run-AOLDialer - c:\program files\Fichiers communs\AOL\ACS\AOLDial.exe
MSConfigStartUp-39276936 - c:\docume~1\ALLUSE~1\APPLIC~1\39276936\39276936.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 21:16
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1980)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll
c:\program files\IncrediMail\bin\B4ImApp.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\AGRSMMSG.exe
c:\windows\ALCXMNTR.EXE
c:\program files\Logitech\MouseWare\system\em_exec.exe
c:\progra~1\Magentic\bin\MgApp.exe
c:\program files\IncrediMail\bin\IMApp.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-03-02 21:25:16 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-02 20:25

Avant-CF: 63 476 113 408 octets libres
Après-CF: 64 481 079 296 octets libres

- - End Of File - - F3DA3EF60B32C0B307B9284F316DAE44

[bernard53]

Très bien cette fois le RootKit est supprimer: juste ceci pour terminer.

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer.

Copie la liste qui se trouve en citation ci-dessous:

:Files
c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
c:\windows\S7AA6A2BE.tmp

:Commands
[purity]
[emptytemp]

[Reboot]

et colle-la dans le cadre de gauche de OTM sous ceci:



Clique sur pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

Dis moi si tout va toujours bien

[dodremi]

Bonsoir

Désolée pour la réponse tardive, mais je rentre du boulot.

Alors, j'ai fait OTM et je vous joins le résultats.
Y a til autre chose à faire ?
Pour le moment tout va bien sauf que mon Antivirus Avasta disparu de ma barre de tache et de ce fait je ne sais pas si je suis protégée ou pas...et impossible de le remettre ...
Dans tous les cas quel Antivirus "gratuit" votre équipe de pro, peut elle me conseiller pour éviter ce genre de problème à nouveau ?

Merci à vous.
a +
Ci après le rapport.
All processes killed
========== FILES ==========
c:\documents and settings\NetworkService\Application Data\rbuwzv.dat moved successfully.
c:\windows\S7AA6A2BE.tmp moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Compaq_Propriétaire
->Temp folder emptied: 2101148 bytes

User: Compaq_Propriétaire
->Temp folder emptied: 1118852 bytes
->Temporary Internet Files folder emptied: 5079215 bytes
->Java cache emptied: 12066235 bytes
->Google Chrome cache emptied: 6099312 bytes
->Flash cache emptied: 141444 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
->Flash cache emptied: 41620 bytes

User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 16786 bytes

User: MANON
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Flash cache emptied: 48216 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19702 bytes
%systemroot%\System32 .tmp files removed: 4213248 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 104576 bytes
Windows Temp folder emptied: 82016 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 190489 bytes
RecycleBin emptied: 1729 bytes

Total Files Cleaned = 30,00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 03032010_192630

[bernard53]

Si tout va bien pour toi maintenant Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait

Puis::

Maintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.
Sur cette fenêtre coche cette case :


Valide cela par l’onglet APPLIQUER et acceptes la demande sur la fenêtre que vas s’afficher.

Après quelques instants décoche cette même case et valides cela par l’onglet APPLIQUER .

Il te faut donc maintenant recrée un nouveau point de restauration.

2-Démarrer >exécuter et tapes.
Restore/rstrui.exe



Valides dans la fenêtre qui apparait : Créer un point de restauration


Puis Suivant et donne un nom au nouveau point de restauration : Valide :



L'écran suivant doit vous prévenir que le point de restauration a été créé avec succès.
Cliquez sur "Fermer" dans la prochaine fenêtre pour sortir de l'utilitaire.


Pour ton anti virus.

Pour ma part j'utilise Antivir mais beaucoup apprécie la dernière version d"AVAST.

donc a toi de choisir.
En plus de cela j'ai MalwaresBytes et le pare feu de Vista. Et pas d'ennui de quoique de soit.

PS:: vérifies ceci pour la boule concernant AVAST.

A: Si vous utilisez Windows XP ou Vista, SVP assurez-vous que l’icône (la boule bleue) n'est pas masquée. Dans ce cas faites un clique avec le bouton droit de votre souris sur la barre des tâches et choisissez 'Propriétés'. Une boîte de dialogue ‘'Propriétés de la barre des tâches et du menu démarrer’’ devrait apparaître. Ensuite décochez la case Masquer les icônes inactives.

Si vous n’utilisez pas Windows XP, OU la solution précédente ne fixe pas le problème, exécutez manuellement le fichier ashDisp.exe qui se trouve dans ce dossier : (C:\Program Files\ALWIL Software\Avast4\). Cela devrait ramener l'icône. Si elle disparaît encore après le redémarrage de l'ordinateur, faites un raccourci dans le dossier "Démarrage".

INFO: Ce n'est pas parce que cette boule n'apparait pas que tu n'est pas protégé. Mais cela n'empêche que c'est mieux qu'elle soit la.

[dodremi]

Alors, étape 1 c'est fait, je te joins le rapport et j'attaque l'étape 2 et je te tiens au courant...
a tout de suite ...

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Compaq_Propriétaire\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !

[dodremi]

Ca y est j'ai fini, j'ai suivi à la lettre toutes tes explications et tout à l'air OK ...OUF....

Y a t il autre chose à faire ensuite ?

[bernard53]

Pour moi tout est OK.

Il faut juste qu'un modo marque RESOLU sur ton post si de ton coté tout va toujours bien.

Bonne soirée

[dodremi]

Pour moi tout à l'air OK.
Je tenais juste à te remercier pour ton aide ainsi que celle de Pac428.
c'est la 1ere fois que j'utilise ce genre de forum, et franchement bravo....vous êtes des PRO ...

Merci encore..
a un de ces jours.....

Bonne soirée

[Pac428]

Bon ben content pour toi Dodremi et bravo Bernard

Bonne continuation et ++, je m'occupe du "Réglé".