Infection - antivirus bloque - IE bloque [Réglé] • page 2

[bernard53]

ok ceci.

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

killall::

File::
c:\documents and settings\jvais\Local Settings\Application Data\yeoainio
c:\winnt\system32\PowerMANUI.exe
c:\winnt\system32\PowerMAN.exe
c:\documents and settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite::


Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe
ou la:
http://support.kaspersky.com/downloads/ ... killer.zip

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.

INFO::
http://support.kaspersky.com/viruses/so ... =208280684

PS: tu as IE7 tu as essayer de passer a IE9?

[stevegerrard]

Salut, mon anti virus a redemarer et spybot egalement.
Mon animal de compagnie a maintenant un nom: W32/Ramnit-A.exe
desole j'avais pas vu ton message

[stevegerrard]

voila j'ai appliquer la procédure pour ComboFix.

Cependant impossible de lancer tdsskiller

Le bruit bizarre est revenu et de nouveau impossible de lancer Antivirus Sophos et spybot.

Pour info, mon OS est XP

[bernard53]

Ok pour ton anti virus

fait ceci qui est plus efficace que spybot.

Installe Malewarebytes' Antimalware,

http://malwarebytes.org/products/malwarebytes_free

Prends bien la version FREE
*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

Ps: as tu un rapport ou est mentionné l'adresse de ton W32/Ramnit-A.exe?

[stevegerrard]

Salut

Le rapport Combofix

Code: Tout sélectionner

ComboFix 11-07-29.01 - jvais 03/08/2011  11:35:48.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.44.1033.18.1918.907 [GMT 1:00]
Running from: c:\documents and settings\jvais\My Documents\Téléchargements\ComboFix.exe
Command switches used :: c:\documents and settings\jvais\Desktop\CFScript.txt
AV: Sophos Anti-Virus *Enabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.
- REDUCED FUNCTIONALITY MODE -
.
FILE ::
"c:\documents and settings\jvais\Local Settings\Application Data\yeoainio"
"c:\documents and settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe"
"c:\winnt\system32\PowerMAN.exe"
"c:\winnt\system32\PowerMANUI.exe"
.
.
(((((((((((((((((((((((((   Files Created from 2011-07-03 to 2011-08-03  )))))))))))))))))))))))))))))))
.
.
2011-08-03 08:49 . 2011-07-13 03:39   6881616   ----a-w-   c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{BC8EB849-7803-432B-8C6E-21C06C0BD747}\mpengine.dll
2011-08-01 16:51 . 2011-08-03 07:34   --------   d-----w-   c:\winnt\system32\CatRoot2
2011-08-01 16:50 . 2011-08-01 16:50   --------   d-----w-   c:\documents and settings\All Users\Application Data\CAT
2011-07-29 16:28 . 2011-07-29 16:28   --------   d-----w-   C:\_OTL
2011-07-29 12:05 . 2011-07-29 12:05   --------   d-----w-   c:\documents and settings\jvais\Local Settings\Application Data\yeoainio
2011-07-29 11:07 . 2011-07-29 11:07   --------   d-----w-   C:\_OTM
2011-07-28 16:22 . 2011-07-28 16:22   --------   d-----w-   c:\documents and settings\jvais\Application Data\CheckPoint
2011-07-28 14:33 . 2011-07-28 14:33   --------   d-----w-   c:\documents and settings\jvais\Local Settings\Application Data\ZoneAlarm_Security_Suite
2011-07-28 14:33 . 2011-07-29 16:37   --------   d-----w-   c:\program files\ZoneAlarm_Security_Suite
2011-07-28 14:32 . 2011-07-28 14:32   --------   d-----w-   c:\documents and settings\All Users\Application Data\CheckPoint
2011-07-28 14:27 . 2011-07-28 14:32   --------   d-----w-   C:\ca6058f574ea3eb5fade0b
2011-07-28 14:25 . 2011-07-29 08:15   --------   d-----w-   c:\program files\CheckPoint
2011-07-28 13:57 . 2011-07-28 14:33   --------   d-----w-   c:\documents and settings\jvais\Local Settings\Application Data\Temp
2011-07-28 08:17 . 2011-07-28 08:17   361984   ----a-w-   c:\winnt\system32\PowerMANUI.exe
2011-07-13 07:43 . 2011-07-13 07:43   404640   ----a-w-   c:\winnt\system32\FlashPlayerCPLApp.cpl
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-15 15:09 . 2009-05-13 11:54   978944   ----a-w-   c:\winnt\system32\PowerMAN.exe
2011-07-13 03:39 . 2009-05-13 13:51   6881616   ----a-w-   c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
2011-07-06 18:52 . 2011-06-01 16:22   41272   ----a-w-   c:\winnt\system32\drivers\mbamswissarmy.sys
2011-07-06 18:52 . 2011-06-01 16:22   22712   ----a-w-   c:\winnt\system32\drivers\mbam.sys
2011-06-08 09:16 . 2011-04-06 15:20   53248   ----a-w-   c:\winnt\system32\jdns_sd.dll
2011-06-03 09:10 . 2009-03-18 10:18   153728   ----a-w-   c:\winnt\system32\drivers\savonaccesscontrol.sys
2011-06-03 09:10 . 2009-03-18 10:18   24192   ----a-w-   c:\winnt\system32\drivers\savonaccessfilter.sys
2011-06-03 09:10 . 2011-06-03 09:11   30744   ----a-w-   c:\winnt\system32\SophosBootTasks.exe
2011-06-03 09:09 . 2011-06-03 09:09   14976   ----a-w-   c:\winnt\system32\drivers\SophosBootDriver.sys
2011-06-03 09:09 . 2011-06-03 09:09   24312   ----a-w-   c:\winnt\system32\drivers\sdcfilter.sys
2011-06-03 09:09 . 2011-06-03 09:09   31736   ----a-w-   c:\winnt\system32\drivers\skmscan.sys
2011-06-03 09:09 . 2011-06-03 09:09   131824   ----a-w-   c:\winnt\system32\sdccoinstaller.dll
2011-05-24 18:14 . 2009-12-07 17:21   222080   ------w-   c:\winnt\system32\MpSigStub.exe
2004-03-01 13:25 . 2004-03-01 13:25   201135   ------w-   c:\program files\internet explorer\plugins\ChimeShim.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-08-03_07.44.56   )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-03-27 12:07 . 2006-03-27 12:07   49152              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\psloggedon.exe
+ 2005-02-26 17:29 . 2005-02-26 17:29   41984              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\popt1.dll
+ 2003-08-28 15:55 . 2003-08-28 15:55   78290              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\pcre.dll
+ 2003-04-04 22:09 . 2003-04-04 22:09   72261              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\libintl-2.dll
+ 2011-07-21 10:54 . 2011-07-21 10:54   16896              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\ipmasklist.exe
+ 2011-07-28 14:17 . 2011-07-28 14:17   3773              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\subnet.bat
+ 2011-02-13 18:44 . 2011-02-13 18:44   8192              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\netbcast.exe
+ 2004-10-09 16:25 . 2004-10-09 16:25   101888              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\libintl3.dll
+ 2004-03-16 20:37 . 2004-03-16 20:37   898048              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\libiconv2.dll
+ 2003-02-08 19:02 . 2003-02-08 19:02   926123              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\libiconv-2.dll
+ 2003-08-28 16:14 . 2003-08-28 16:14   122880              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\grep.exe
+ 2004-06-02 07:08 . 2004-06-02 07:08   306688              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\gawk.exe
+ 2008-09-28 11:54 . 2008-09-28 11:54   257024              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\ExportAMD64.exe
+ 2009-02-25 13:16 . 2009-02-25 13:16   217088              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\Export.exe
+ 2002-06-06 18:57 . 2002-06-06 18:57   151552              c:\winnt\system32\CCM\Cache\LIV001E4.47.System\conset.exe
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"DomainLogin"="c:\temp\stage2hook.bat" [2011-08-03 73]
"HkgMsqrf"="c:\documents and settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe" [BU]
"ctfmon.exe"="c:\winnt\system32\ctfmon.exe" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"WinVNC"="c:\program files\ORL\VNC\WinVNC.exe" [2001-03-22 295413]
"VTTimer"="VTTimer.exe" [2006-09-21 53248]
"S3Trayp"="S3trayp.exe" [2007-06-11 176128]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 508307]
"ConnectionCenter"="c:\program files\Citrix\ICA Client\concentr.exe" [2010-03-10 300400]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2007-01-25 185896]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-27 421160]
"Sophos AutoUpdate Monitor"="c:\program files\Sophos\AutoUpdate\almon.exe" [2011-03-14 494616]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2010-05-04 124928]
.
c:\documents and settings\lofty\Start Menu\Programs\Startup\
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\hariz\Start Menu\Programs\Startup\
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\jvais\Start Menu\Programs\Startup\
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)
"HideLogonScripts"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSecurityTab"= 1 (0x1)
"DisallowCpl"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\winnt\system32\userinit.exe,,c:\documents and settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Sophos\SOPHOS~1\sophos_detoured.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-102676\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-102676\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-154387\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-154387\Scripts\Logon\0\0]
"Script"=\\mwsapps04\ug_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-164621\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-164621\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-165211\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-165211\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-168146\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-168146\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-175004\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-175004\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-176780\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-176780\Scripts\Logon\0\0]
"Script"=\\mwsapps04\ug_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-188417\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-188417\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-210955\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-210955\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-86222\Scripts\Logoff\0\0]
"Script"=v:\batch\login\logoff.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-137024685-2204166116-4157399963-86222\Scripts\Logon\0\0]
"Script"=\\mwsapps01\st_apps\batch\login\userstub.bat
.
[COLOR=RED] SafeBoot registry key needs repairs. This machine cannot enter Safe Mode. [/COLOR]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
.
R1 ctxusbm;Citrix USB Monitor Driver;c:\winnt\system32\drivers\ctxusbm.sys [05/10/2009 10:08 65584]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\winnt\system32\drivers\savonaccesscontrol.sys [18/03/2009 11:18 153728]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\winnt\system32\drivers\savonaccessfilter.sys [18/03/2009 11:18 24192]
R1 SKMScan;SKMScan;c:\winnt\system32\drivers\skmscan.sys [03/06/2011 10:09 31736]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [01/06/2011 17:22 366640]
R2 SAVService;Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SavService.exe [03/06/2011 10:10 99864]
R2 swi_service;Sophos Web Intelligence Service;c:\program files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [03/06/2011 10:09 1543192]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
R3 MBAMProtector;MBAMProtector;c:\winnt\system32\drivers\mbam.sys [01/06/2011 17:22 22712]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;\??\c:\program files\CheckPoint\ZAForceField\ISWKL.sys --> c:\program files\CheckPoint\ZAForceField\ISWKL.sys [?]
S2 PowerMan;PowerMAN Power Management Service;c:\winnt\system32\PowerMAN.exe [13/05/2009 12:54 978944]
S2 SAVAdminService;Sophos Anti-Virus status reporter;c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [03/06/2011 10:09 167960]
S3 sdcfilter;sdcfilter;c:\winnt\system32\drivers\sdcfilter.sys [03/06/2011 10:09 24312]
S4 SophosBootDriver;SophosBootDriver;c:\winnt\system32\drivers\SophosBootDriver.sys [03/06/2011 10:09 14976]
S4 viasraid;viasraid;c:\winnt\system32\drivers\viasraid.sys [05/01/2009 12:20 77312]
.
--- Other Services/Drivers In Memory ---
.
*Deregistered* - uphcleanhlp
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\autorunner.exe "WPC Presentation 2008.pps"
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{478fb500-97ff-11e0-9932-001d9209893e}]
\Shell\AutoRun\command - G:\autorunner.exe "WPC Presentation 2008.pps"
.
Contents of the 'Scheduled Tasks' folder
.
2011-08-03 c:\winnt\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.liv.ac.uk/staff
uInternet Connection Wizard,ShellNext = hxxp://www.liv.ac.uk/staff/
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: liv.ac.uk\*
Trusted Zone: liv.ac.uk\archiveone
Trusted Zone: liv.ac.uk\vital
Trusted Zone: liverpool.ac.uk\*
TCP: DhcpNameServer = 138.253.110.104 138.253.110.103
Handler: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - c:\program files\Invitrogen\Vector NTI Advance 11\Ncbi.dll
FF - ProfilePath - c:\documents and settings\jvais\Application Data\Mozilla\Firefox\Profiles\06q59lvn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-03 11:43
Windows 5.1.2600 Service Pack 2 NTFS
.
scanning hidden processes ... 
.
scanning hidden autostart entries ...
.
scanning hidden files ... 
.
.
c:\documents and settings\jvais\Start Menu\Programs\Startup\hkgmsqrf.exe 79512 bytes executable
.
scan completed successfully
hidden files: 1
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'lsass.exe'(760)
d:\applied biosystems\StepOne Software v2.2\bonjour\mdnsNSP.dll
.
- - - - - - - > 'explorer.exe'(532)
c:\winnt\system32\WININET.dll
c:\winnt\system32\ieframe.dll
c:\winnt\system32\wpdshserviceobj.dll
c:\winnt\system32\portabledevicetypes.dll
c:\winnt\system32\portabledeviceapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\UPHClean\uphclean.exe
c:\winnt\system32\CCM\CcmExec.exe
c:\winnt\system32\msiexec.exe
c:\winnt\RTHDCPL.EXE
c:\winnt\system32\VTTimer.exe
c:\winnt\system32\S3trayp.exe
c:\program files\Citrix\ICA Client\wfcrun32.exe
c:\program files\iPod\bin\iPodService.exe
c:\winnt\system32\SLEEP.EXE
v:\utils\totw.exe
v:\pcounter\WBALANCE3.EXE
c:\docume~1\jvais\LOCALS~1\Temp\PPOPUP2.EXE
.
**************************************************************************
.
Completion time: 2011-08-03  11:48:06 - machine was rebooted
ComboFix-quarantined-files.txt  2011-08-03 10:48
ComboFix2.txt  2011-08-03 07:48
.
Pre-Run: 11,139,907,584 bytes free
Post-Run: 11,090,497,536 bytes free
.
- - End Of File - - 9224FAF648AE5C2AF42A20E8DB9563AF


bon alors, j'ai pu lancer TDSSkiller a partir d'une clef USB.
Resultat rien trouve

Malwarebytes'anti idem aucune infection

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7356

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

03/08/2011 13:45:11
mbam-log-2011-08-03 (13-45-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 367048
Temps écoulé: 54 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Sypbot n'a rien trouve

Par contre quand mon antivirus marchait (ce matin) il a trouve W32/Ramnit-A.exe a de multiple endroits

A supprimer environ 250 fichiers mais 1 seul m'a pas pu etre supprime

sinon voila le fameux Powerman.xml

Code: Tout sélectionner

<?xml version="1.0" encoding="utf-8"?>
<PMCache>
<ClientGUID>{33edc02b-af5f-4644-bbf2-001d9209893e}</ClientGUID>
<PMClientStatus>
<Status StatusTag="01cc5170499b4000">4f4e504d00409b497051cc01600000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000c2ec281db1ec081d0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000</Status>
</PMClientStatus>


[bernard53]

Oui je vois qu'il est encore la.
En premier ceci s.t.p
Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer.

Copie la liste qui se trouve en citation ci-dessous:

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

et colle-la dans le cadre de gauche de OTM sous ceci:



Clique sur pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

peux tu faire ceci ensuite.

Graver et Démarrer OTLPE depuis un CD

► Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven) et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* demarrer sur le cdrom crée de Reatogo , voir exemple: booter-sur-dvd-t9447.html














* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-click sur l'icone OTLPE

» à ceci valider par ok:




» à ceci selectionner sa session:

** si le systeme d'exploitation est Vista ou Seven tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

» OTLPE se lançe alors




o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

%temp%\smtmp\1\*.* /s
%temp%\smtmp\2\*.* /s
%temp%\smtmp\4\*.* /s
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
/md5start
dwm.exe
taskhost.exe
taskeng.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* clic Run Scan pour demarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine reponse

Si ton rapport est trop long, utilise le site http://www.ci-joint.fr pour envoyer ton rapport, et mets le lien dans ta prochaine réponse.
ou la pour le rapport.

[stevegerrard]

voila
http://www.cijoint.fr/cjlink.php?file=cj201108/cijrMp9j1I.txt

[bernard53]

ok fait ceci.



Relance donc le cd que tu viens de graver puis relance OTLPE et dans cette fenêtre.


Sous Custom Scan box copie_colle le contenu du cadre ci dessous:

:OTL
SRV - [2011/07/15 11:09:00 | 000,978,944 | ---- | M] () [Auto] -- C:\WINNT\system32\PowerMAN.exe -- (PowerMan)
DRV - File not found [Kernel | On_Demand] -- -- (catchme)
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\bs0u60f9_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\bs0u812c_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\bs0u913a_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\hariz_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\jvais_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\karen24_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\lofty_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\MWSInstall_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\ncobbe_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\nkl_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\pevans_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\register_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
O4 - HKLM..\Run: [QuickTime Task] File not found
O4 - HKU\jvais_ON_C..\Run: [HkgMsqrf] C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe) - C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe ()
[2011/07/27 09:44:56 | 000,079,512 | --S- | M] () -- C:\Documents and Settings\jvais\Start Menu\Programs\Startup\hkgmsqrf.exe
[2011/07/15 11:09:00 | 000,978,944 | ---- | M] () -- C:\WINNT\System32\PowerMAN.exe
[2011/07/28 04:17:47 | 000,361,984 | ---- | M] () -- C:\WINNT\System32\PowerMANUI.exe
[2004/08/04 08:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=82B24CB70E5944E6E34662205A2A5B78 -- C:\WINNT\ERDNT\cache\eventlog.dll
[2004/08/04 08:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=82B24CB70E5944E6E34662205A2A5B78 -- C:\WINNT\system32\dllcache\eventlog.dll
[2004/08/04 08:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=82B24CB70E5944E6E34662205A2A5B78 -- C:\WINNT\system32\eventlog.dll
:Files
C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe
:Reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\Userinit.exe,"
:Commands
[emptytemp]

* Cliques sur l'icône RUNFIX (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php

PS: n'oublies de mettre au possible une version légale sur ton pc s.t.p

[stevegerrard]

Merci pour ton aide

Code: Tout sélectionner

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerMan deleted successfully.
C:\WINNT\system32\PowerMAN.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\catchme deleted successfully.
HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\bs0u60f9_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\bs0u812c_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\bs0u913a_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\hariz_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\jvais_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\karen24_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\lofty_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\MWSInstall_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\ncobbe_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\nkl_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\pevans_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKU\register_ON_C\Software\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
Registry value HKEY_USERS\jvais_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\HkgMsqrf deleted successfully.
C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe deleted successfully.
File C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe not found.
C:\Documents and Settings\jvais\Start Menu\Programs\Startup\hkgmsqrf.exe moved successfully.
File C:\WINNT\System32\PowerMAN.exe not found.
C:\WINNT\system32\PowerMANUI.exe moved successfully.
C:\WINNT\ERDNT\cache\eventlog.dll moved successfully.
C:\WINNT\system32\dllcache\eventlog.dll moved successfully.
C:\WINNT\system32\eventlog.dll moved successfully.
========== FILES ==========
File\Folder C:\Documents and Settings\jvais\Local Settings\Application Data\yeoainio\hkgmsqrf.exe not found.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\Userinit.exe," /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: bs0u60f9
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: bs0u812c
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: bs0u913a
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: hariz
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: jvais
->Temp folder emptied: 1268875 bytes
->Temporary Internet Files folder emptied: 49554 bytes
->FireFox cache emptied: 5577695 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 470 bytes
 
User: karen24
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: lofty
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: MWSInstall
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ncobbe
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 896 bytes
->Temporary Internet Files folder emptied: 32835 bytes
 
User: nkl
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: pevans
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: register
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33576 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
 
Total Files Cleaned = 7.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 08042011_113554


ou http://www.cijoint.fr/cjlink.php?file=cj201108/cij2TWeSTp.txt

[stevegerrard]

PS: n'oublies de mettre au possible une version légale sur ton pc s.t.p

Ca, je cromprends pas de quoi tu parles?
L'installation de l'OS et le reste est sous licence puisque acheter par mon employeur.
Ou du moins c'est ce qu'on m'as dit

[bernard53]

ok comment va le pc suite au redémarrage de ton pc.

[bernard53]

Ceci au démarrage de ton pc indique que ton OS n'est pas officiel.

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') => Windows Version nLite non officielle
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') => Windows Version nLite non officielle
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') => Windows Version non officielle

[stevegerrard]

Salut donc mon PC ne demarre plus en mode normal. Il plante au chargement de Windows apres avoir donner mon ID et PW.

[stevegerrard]

Ceci au démarrage de ton pc indique que ton OS n'est pas officiel.

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') => Windows Version nLite non officielle
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') => Windows Version nLite non officielle
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') => Windows Version non officielle

Ca c'est moyen pour une universite! Mais la j'ai pas la main dessus.

[bernard53]

fait ceci et dis moi si le pc redémarre.




Relance donc le cd que tu viens de graver puis relance OTLPE et dans cette fenêtre.


Sous [color="#0000FF"]Custom Scan box[/color] copie_colle le contenu du cadre ci dessous:

:Reg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\winnt\system32\userinit.exe,"

* Cliques sur l'icône RUNFIX (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php