Se connecter / S'enregistrer
Votre question

virus brontok rapport d'erreur RSIT et ensuite??[RESOLU]

Tags :
  • Virus
  • Sécurité
  • Périphériques
Dernière réponse : dans Sécurité et virus
9 Avril 2012 15:12:35

Bonjour j'ai actuellement un virus brontok A 18 qui me pourri mon ordi depuis quelques semaines je ne peux plus rien installer l'ordinateur redemarre automatiquement j'ai exécuté le logiciel RSIT (ou le programme ) et j'ai obtenu un rapport(ci-dessus en intégralité) que je n'arrive pas à déchiffrer si quelqu'un pouvait m'aider. Cordialement!




======System event log======

Computer Name: VALLOTECH-PC
Event Code: 7
Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
Record Number: 470
Source Name: Disk
Time Written: 20111018162415.782302-000
Event Type: Erreur
User:

Computer Name: VALLOTECH-PC
Event Code: 7
Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
Record Number: 469
Source Name: Disk
Time Written: 20111018162413.801098-000
Event Type: Erreur
User:

Computer Name: VALLOTECH-PC
Event Code: 7
Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
Record Number: 468
Source Name: Disk
Time Written: 20111018162411.773095-000
Event Type: Erreur
User:

Computer Name: VALLOTECH-PC
Event Code: 7
Message: Le périphérique \Device\Harddisk1\DR1 comporte un bloc défectueux.
Record Number: 467
Source Name: Disk
Time Written: 20111018162408.715489-000
Event Type: Erreur
User:

Computer Name: VALLOTECH-PC
Event Code: 137
Message: Le gestionnaire des ressources de la transaction par défaut sur le volume \\?\Volume{2744042b-f99f-11e0-bed1-8dec48dbe2b5} a rencontré une erreur non renouvelable et n’a pas pu démarrer. Les données contiennent le code de l’erreur.
Record Number: 453
Source Name: Ntfs
Time Written: 20111018154651.858753-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: VALLOTECH-PC
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 280
Source Name: Microsoft-Windows-WMI
Time Written: 20111018173127.000000-000
Event Type: Erreur
User:

Computer Name: VALLOTECH-PC
Event Code: 1008
Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Application demandée}.

Record Number: 274
Source Name: Microsoft-Windows-Search
Time Written: 20111018173106.000000-000
Event Type: Avertissement
User:

Computer Name: VALLOTECH-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-2568519642-4281583953-1574717887-1000:
Process 416 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-2568519642-4281583953-1574717887-1000

Record Number: 259
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20111018172828.756474-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: VALLOTECH-PC
Event Code: 1008
Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Réinitialisation totale de l’index}.

Record Number: 141
Source Name: Microsoft-Windows-Search
Time Written: 20111018154139.000000-000
Event Type: Avertissement
User:

Computer Name: VALLOTECH-PC
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 135
Source Name: Microsoft-Windows-WMI
Time Written: 20111018153956.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: 37L4247F27-25
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111018153348.758876-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247F27-25
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : 37L4247F27-25$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x1cc
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111018153348.758876-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247F27-25
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments : 0
ID de la stratégie : 0x55f7c
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111018153340.272461-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247F27-25
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0

Type d’ouverture de session : 0

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x4
Nom du processus :

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : -
Package d’authentification : -
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111018153337.511256-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247F27-25
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20111018153337.308455-000
Event Type: Succès de l’audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Windows Live\Shared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=4
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 37 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=2502
"windows_tracing_logfile"=C:\BVTBin\Tests\installpackage\csilogfile.log
"windows_tracing_flags"=3

-----------------EOF-----------------

Autres pages sur : virus brontok rapport erreur rsit ensuite resolu

9 Avril 2012 16:41:55

Bonjour
Tu peux essayer de faire ceci en mode sans échec avec prise en charge réseau:
tu vas nettoyer en mode sans échec avec prise en charge réseau:
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec avec prise en charge réseau, puis appuie sur "Entrée".

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>

    +++++++++++++++++++++
    9 Avril 2012 18:05:07

    ComboFix 12-04-09.04 - VALLOTECH 09/04/2012 18:32:00.1.4 - x64 NETWORK
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3957.3156 [GMT 2:00]
    Lancé depuis: c:\users\VALLOTECH\Downloads\ComboFix.exe
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files (x86)\Object
    c:\program files (x86)\Object\bhO_project.dll
    c:\program files (x86)\Object\chromeaddon\._included.js
    c:\program files (x86)\Object\chromeaddon\included.js
    c:\program files (x86)\Object\config.ini
    c:\program files (x86)\Object\facetheme_uninstall.exe
    c:\program files (x86)\Object\status.txt
    c:\program files (x86)\Object\status2.txt
    c:\users\VALLOTECH\AppData\Local\br9627on.exe
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-1
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-10
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-11
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-12
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-13
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-14
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-15
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-17
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-18
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-19
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-2
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-20
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-21
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-22
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-23
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-24
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-25
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-26
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-27
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-28
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-29
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-3
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-30
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-31
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-4
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-5
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-6
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-7
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-8
    c:\users\VALLOTECH\AppData\Local\Bron.tok-18-9
    c:\users\VALLOTECH\AppData\Local\Bron.tok.A18.em.bin
    c:\users\VALLOTECH\AppData\Local\csrss.exe
    c:\users\VALLOTECH\AppData\Local\inetinfo.exe
    c:\users\VALLOTECH\AppData\Local\Kosong.Bron.Tok.txt
    c:\users\VALLOTECH\AppData\Local\lsass.exe
    c:\users\VALLOTECH\AppData\Local\services.exe
    c:\users\VALLOTECH\AppData\Local\smss.exe
    c:\users\VALLOTECH\AppData\Local\svchost.exe
    c:\users\VALLOTECH\AppData\Local\winlogon.exe
    c:\users\VALLOTECH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
    c:\users\VALLOTECH\AppData\Roaming\Microsoft\Windows\Templates\17436-NendangBro.com
    c:\windows\Instaler Setup Log.txt
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-03-09 au 2012-04-09 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-04-09 16:36 . 2012-04-09 16:36 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
    2012-04-09 16:36 . 2012-04-09 16:36 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-04-09 14:01 . 2012-04-09 14:01 -------- d-----w- c:\program files (x86)\VideoLAN
    2012-04-06 21:58 . 2012-04-06 21:58 -------- d-----w- c:\program files (x86)\Common Files\Java
    2012-04-06 21:57 . 2012-04-06 21:57 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
    2012-04-06 21:57 . 2012-04-06 21:57 -------- d-----w- c:\program files (x86)\Java
    2012-04-06 14:01 . 2012-03-20 01:51 8669240 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{52A065C9-7CF1-4150-9EA9-855F501FD508}\mpengine.dll
    2012-04-05 11:12 . 2012-04-05 11:20 -------- d-----w- c:\program files (x86)\trend micro
    2012-04-05 11:12 . 2012-04-05 11:20 -------- d-----w- C:\rsit
    2012-04-04 13:44 . 2011-11-19 15:20 5559152 ----a-w- c:\windows\system32\ntoskrnl.exe
    2012-04-04 13:44 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
    2012-04-04 13:44 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
    2012-04-04 08:57 . 2012-02-03 04:34 3145728 ----a-w- c:\windows\system32\win32k.sys
    2012-04-04 08:57 . 2012-02-10 06:36 1544192 ----a-w- c:\windows\system32\DWrite.dll
    2012-04-04 08:57 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
    2012-04-04 08:41 . 2012-04-04 08:41 -------- d-----w- c:\users\VALLOTECH\AppData\Local\Deployment
    2012-04-04 08:41 . 2012-04-04 08:41 -------- d-----w- c:\users\VALLOTECH\AppData\Local\Apps
    2012-04-04 08:40 . 2012-01-25 06:38 77312 ----a-w- c:\windows\system32\rdpwsx.dll
    2012-04-04 08:40 . 2012-01-25 06:38 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
    2012-04-04 08:40 . 2012-01-25 06:33 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
    2012-04-04 08:40 . 2012-02-17 06:38 1031680 ----a-w- c:\windows\system32\rdpcore.dll
    2012-04-04 08:40 . 2012-02-17 05:34 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll
    2012-04-04 08:40 . 2012-02-17 04:58 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
    2012-04-04 08:40 . 2012-02-17 04:57 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
    2012-04-04 08:36 . 2012-04-04 08:36 -------- d-----w- c:\users\VALLOTECH\AppData\Local\Mozilla
    2012-03-31 16:35 . 2012-04-04 08:33 -------- d-----w- C:\0fe73e1b6f9f2ddaf8ff57227685c528
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-02-23 08:18 . 2010-11-21 03:27 279656 ------w- c:\windows\system32\MpSigStub.exe
    2012-02-05 21:39 . 2012-02-05 21:39 5793 ----a-w- c:\users\VALLOTECH\AppData\Local\JunkAtx18.bin
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Facebook Update"="c:\users\VALLOTECH\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-01-30 137536]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "mixer4"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-08-03 2255464]
    S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
    S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-04-06 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2568519642-4281583953-1574717887-1000Core.job
    - c:\users\VALLOTECH\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-30 19:19]
    .
    2012-04-09 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2568519642-4281583953-1574717887-1000UA.job
    - c:\users\VALLOTECH\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-30 19:19]
    .
    2012-04-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2568519642-4281583953-1574717887-1000Core.job
    - c:\users\VALLOTECH\AppData\Local\Google\Update\GoogleUpdate.exe [2012-04-04 08:41]
    .
    2012-04-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2568519642-4281583953-1574717887-1000UA.job
    - c:\users\VALLOTECH\AppData\Local\Google\Update\GoogleUpdate.exe [2012-04-04 08:41]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://g.live.com/1rewlive4startup/home
    mLocal Page = c:\windows\SysWOW64\blank.htm
    TCP: DhcpNameServer = 109.0.66.20 109.0.66.10
    FF - ProfilePath - c:\users\VALLOTECH\AppData\Roaming\Mozilla\Firefox\Profiles\y91qcbmj.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Wow6432Node-HKCU-Run-Spotify - c:\users\VALLOTECH\AppData\Roaming\Spotify\Spotify.exe
    Wow6432Node-HKCU-Run-RESTART_STICKY_NOTES - c:\windows\System32\StikyNot.exe
    Wow6432Node-HKCU-Run-Tok-Cirrhatus-4302 - c:\users\VALLOTECH\AppData\Local\br9627on.exe
    AddRemove-facetheme - c:\program files (x86)\Object\facetheme_uninstall.exe
    AddRemove-Spotify - c:\users\VALLOTECH\AppData\Roaming\Spotify\Spotify.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-2568519642-4281583953-1574717887-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.Email.1"
    .
    [HKEY_USERS\S-1-5-21-2568519642-4281583953-1574717887-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.VCard.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2012-04-09 18:40:54 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-04-09 16:40
    .
    Avant-CF: 228 657 381 376 octets libres
    Après-CF: 228 543 995 904 octets libres
    .
    - - End Of File - - C725113BCE66BAF1D466AFFC16FA0CA2
    Contenus similaires
    9 Avril 2012 20:49:28

    bonsoir
    comment se comporte ton pc??

    la suite est à faire en mode normal (pas en mode sans échec) pour que je puisse voir tout:

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.
    10 Avril 2012 21:15:42

    Bonjour

    avec ce genre de virus, il ne faut pas attendre "quelques semaines" comme tu l'as fait car après ça se complique...

    étape 1


    Télécharge CleanX-II (de sUBs) sur ton bureau.

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\


  • Double clique sur CleanX-II.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur CleanX-II.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Valide le message d'avertissement
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!! (Cela peut prendre plusieurs minutes)

    Note : une erreur va s'afficher avant la fin du scan, c'est normal

  • Lorsque l'analyse est terminée, fais ceci pour faire apparaitre le rapport :
    -> Démarrer
    -> Exécuter
    -> tape exactement : %temp%/report.txt
    -> Valide avec "Entrée"

  • copie-colle son contenu dans ta prochaine réponse.


    étape 2


    Télécharge USbFix de El Desaparecido sur ton bureau.


    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)



  • Clique sur "Recherche" pour lancer le scan.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    11 Avril 2012 09:15:38

    Bonjour
    refais un passage avec CleanX-II.exe et poste le nouveau rapport stp.
    11 Avril 2012 13:49:58

    bien :) 

    tu vas scanner les fichier en gras ci dessous chez virus total et me poster les rapports de scan stp.

    C:\Users\VALLOTECH\Documents\PROGRAMME\PROGRAMME.exe

    C:\Users\VALLOTECH\Documents\Fax\Inbox\Inbox.exe

    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\Neighborhoods.exe

    voici un tutoriel:
    http://forum.security-x.fr/tutoriels-317/%28tutoriel%29...



    11 Avril 2012 16:26:58

    re

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme

    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.

  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse
    12 Avril 2012 20:58:47

    bonjour
    le rapport n'est pas complet:
    -soit il n'est pas complet et donc tu le postes en entier
    -soit c'est tout ce que tu as et donc tu recommences. :) 
    12 Avril 2012 21:28:06

    Bonsoir,
    C'est tout ce que j'ai et j'ai tenté de recommencer impossible l'ordinateur s'éteint pendant le scan!
    12 Avril 2012 21:31:27

    ok
    refais un scan de recherche avec USBfix, je les supprimerai via un script avec un autre outil :) 
    12 Avril 2012 22:20:03

    ok
    je détaille tout pour que tu n'oublies aucune étape, vu que si tu ne fais pas une de ces choses, on pourrait bien avoir tout à recommencer :) 

    étape 1


    sauvegarde tes données avant de lancer la procédure !

    étape 2

    insère tes supports usb sans les lancer.

    étape 3

    Purge ta restauration système :
    http://www.inforumatique.fr/forum/post82670.html#p82670

    étape 4


    on va utiliser combofix que tu dois déplacer sur ton bureau (vu qu'il est dans ton dossier download), si tu ne l'as plus, tu le ré-télécharges et tu le mets sur ton bureau sans rien faire.


    étape 5


    Copie (Ctrl+C) le texte ci-dessous :
    Killall::
    File::
    C:\Users\VALLOTECH\AppData\Local\br9627on.exe
    C:\Users\VALLOTECH\AppData\Local\Bron.tok-18-11
    C:\Users\VALLOTECH\AppData\Local\Bron.tok-18-12
    C:\Users\VALLOTECH\AppData\Local\csrss.exe
    C:\Users\VALLOTECH\AppData\Local\inetinfo.exe
    C:\Users\VALLOTECH\AppData\Local\JunkAtx18.bin
    C:\Users\VALLOTECH\AppData\Local\Kosong.Bron.Tok.txt
    C:\Users\VALLOTECH\AppData\Local\Loc.Mail.Bron.Tok
    C:\Users\VALLOTECH\AppData\Local\lsass.exe
    C:\Users\VALLOTECH\AppData\Local\Ok-SendMail-Bron-tok
    C:\Users\VALLOTECH\AppData\Local\services.exe
    C:\Users\VALLOTECH\AppData\Local\smss.exe
    C:\Users\VALLOTECH\AppData\Local\svchost.exe
    C:\Users\VALLOTECH\AppData\Local\winlogon.exe
    C:\Users\VALLOTECH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
    E:\installer.exe
    E:\Data VALLOTECH.exe
    E:\Autorun.inf
    F:\Data VALLOTECH.exe
    G:\Data VALLOTECH.exe
    C:\Users\VALLOTECH\AppData\Roaming\Microsoft\Windows\Templates\17436-NendangBro.com
    C:\Users\VALLOTECH\Documents\CK_Installer\CK_Installer.exe
    C:\Users\VALLOTECH\Documents\Documents.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Cameras\Cameras.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Collections\Collections.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Config\Config.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Les Sims 2.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\LockedBins\LockedBins.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Logs\Logs.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\LotCatalog\LotCatalog.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Movies\Movies.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\build\build.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\buy\buy.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\cas\cas.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\classical\classical.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\collegerock\collegerock.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\country\country.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\hiphop\hiphop.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\housemix\housemix.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\jambands\jambands.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\jazz\jazz.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\metal\metal.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\newage\newage.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\newwave\newwave.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\nhood\nhood.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\oldies\oldies.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\pop\pop.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\rnb\rnb.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\salsa\salsa.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\shopping\shopping.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Music\techno\techno.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\G001\Characters\Characters.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\G001\G001.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\G001\Lots\Lots.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\G001\Storytelling\Storytelling.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\G001\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N001\Characters\Characters.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N001\Lots\Lots.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N001\N001.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N001\Storytelling\Storytelling.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N001\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N002\Characters\Characters.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N002\Lots\Lots.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N002\N002.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N002\Storytelling\Storytelling.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N002\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N003\Characters\Characters.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N003\Lots\Lots.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N003\N003.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N003\Storytelling\Storytelling.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N003\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N004\Characters\Characters.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N004\Lots\Lots.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N004\N004.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\N004\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\Neighborhoods.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\Tutorial\Characters\Characters.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\Tutorial\Lots\Lots.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\Tutorial\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Neighborhoods\Tutorial\Tutorial.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Paintings\Paintings.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\PetBreeds\PetBreeds.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\PetCoats\PetCoats.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\SC4Terrains\SC4Terrains.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Storytelling\Storytelling.exe
    C:\Users\VALLOTECH\Documents\EA Games\Les Sims 2\Thumbnails\Thumbnails.exe
    C:\Users\VALLOTECH\Documents\Fax\Inbox\Inbox.exe
    C:\Users\VALLOTECH\Documents\Mes fichiers reçus\Mes fichiers reçus.exe
    C:\Users\VALLOTECH\Documents\PROGRAMME\PROGRAMME.exe
    C:\Users\VALLOTECH\Documents\Scanned Documents\Scanned Documents.exe
    C:\Users\VALLOTECH\Pictures\travail venus\travail venus.exe
    E:\FAQ\FAQ.exe
    E:\fscommand\dm\dm.exe
    E:\installer\PM\eng\eng.exe
    E:\installer\xml\xml.exe
    E:\installer\installer.exe
    E:\Manual\Manual.exe
    E:\Music\Music.exe
    F:\Spirituel\Spirituel.exe
    F:\dubstep\dubstep.exe
    F:\Nost\Nost.exe
    F:\reggea\reggea.exe
    F:\Class\Class.exe
    F:\hh\hh.exe
    G:\dubstep\dubstep.exe
    G:\AATATOUeuR\AATATOUeuR.exe
    G:\Music\Artiste inconnu\Album inconnu\Album inconnu.exe
    G:\Music\VRP\retire les nains de tes poches\retire les nains de tes poches.exe
    G:\Music\bratsch\Album inconnu\Album inconnu.exe
    G:\Music\Combichrist\Today We Are All Demons\Today We Are All Demons.exe
    G:\Music\Electric Bazar Cie\Album inconnu (06 01 2007 14 05 35)\Album inconnu (06 01 2007 14 05 35).exe
    G:\Music\Fapy Lafertin\Album inconnu\Album inconnu.exe
    G:\Music\Opus 4\Le swing de l'Est\Le swing de l'Est.exe
    G:\Music\Pendulum\Hold Your Colour\Hold Your Colour.exe


    Registry::

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "tok-cirrhatus"=-



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    étape 6



    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.

  • Poste ce rapport.

    ~~REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    ~~Aide :

  • Tutoriel MalwareByte's Anti-Malware

    +++++++++
    ++++++++
    ++++++++++++++++
    14 Avril 2012 05:35:56

    Fichiers infectés : 0
    Total des fichiers : 193968
    Total des dossiers : 21755
    Taille totale : 88,5 Go

    *
    * Tâche terminée : samedi 14 avril 2012 06:30:34
    * Programme qui était exécuté 38 minute(s), 45 seconde(s)
    *

    Désolée le rapport est vraiment trop long je n'arrive pas à l'envoyer ça doit faire trois heure que j'essaie pleins de stratagèmes différents rien à faire tout est ralentit d'un coup.
    14 Avril 2012 05:37:55

    Lors du premier scan je tiens à préciser qu'il y avait 80 fichiers infectés dont 1 virus tout a été mis en quarantaine.
    14 Avril 2012 18:17:31

    Bonjour
    comment se comporte ton pc?
    15 Avril 2012 02:45:41

    Bien hormis mon problème d'alimentation mais la c'est un faux contact, s'il va mieux je t'en remercie énormément! Par contre le démarrage est un peu plus long depuis qu'avast est installé.
    15 Avril 2012 14:27:47

    Bonjour
    en même temps, si avast avait tourné au moment de ton infection, tu ne te serais pas infecté vu qu'il détecte bien Brontok...
    pour le démarrage voici un tuto sur le logiciel startuplite (dans lequel tu peux avoir confiance):
    http://www.bibou0007.com/t4540-tutoriel-startuplite

    ++++



    On va vérifier que plusieurs programmes sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\


    +++++++++++++++++++++++++++
    16 Avril 2012 20:24:33

    bonsoir
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...


    • Relance SX Check&Update.
    • Clique sur Update java et accepte la mise à jour.
    • Clique sur Update Flash et accepte la mise à jour.

      Tutoriel: SX Check&Update





      Supprime/Désinstalle tous les programmes utilisés pour la désinfection.
      (mais garde Malwarebytes' Anti-Malware pour faire des scan réguliers (en n'omettant pas de le mettre à jour)

      Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



      Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

      Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

      Lire aussi:
    • Antispyware gratuit : ça sert à rien!

      ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

      Clique ensuite sur "Valider votre message"

      :hello: 

      ++++++++

      +++++++++++++++++++++++++++++
    17 Avril 2012 21:35:28

    de rien
    bon surf ! :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS