Infectée par un virus? aidez-moi SVP
Résolu
mady_31
Messages postés
79
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Mon antivirus Avast ne demarre plus,impossible d'exécuter, ad-aware, hijackthis, spybot Search etc..
Je pense être infectée, J'ai même tenté une restauration système qui ne fonctionne pas, du moins qui n'as rien restauré.
Est ce que quelqu'un aurai la gentillesse et du temps a me consacrer pour m'aider à résoudre ce problème?
Merci par avance.
Mon antivirus Avast ne demarre plus,impossible d'exécuter, ad-aware, hijackthis, spybot Search etc..
Je pense être infectée, J'ai même tenté une restauration système qui ne fonctionne pas, du moins qui n'as rien restauré.
Est ce que quelqu'un aurai la gentillesse et du temps a me consacrer pour m'aider à résoudre ce problème?
Merci par avance.
A voir également:
- Infectée par un virus? aidez-moi SVP
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
46 réponses
Y a de plus en plus de mec ici qui ne donne comme réponse ( google ) .
Si il est la ce n 'est pas pour rien il a un problème et il espère qu'il y aura quelqu'un de sympa pour l'aider car la plupart d'entre nous qui demande de l'aide on déjà regarder dans google pour trouver une réponse.
Donc ne donne pas ton avis qui ne sert a rien , car ici il y a des mec qui donne de leur temps pour les autres et qui eux donne donne des réponse claire.
merci a eux.
et pas a toi.
Si il est la ce n 'est pas pour rien il a un problème et il espère qu'il y aura quelqu'un de sympa pour l'aider car la plupart d'entre nous qui demande de l'aide on déjà regarder dans google pour trouver une réponse.
Donc ne donne pas ton avis qui ne sert a rien , car ici il y a des mec qui donne de leur temps pour les autres et qui eux donne donne des réponse claire.
merci a eux.
et pas a toi.
Vire tous les AntiVirus et réinstalle Avast (MAIS SEULEMENT AVAST!), puis allume le! C'était peut-être un bug!
Merci de me répondre
Pour info, j'ai déjà désinstallé et réinstallé avast et apres redemarrage window ne detecte aucun logiciel antivirus,
j'ai même essayé de le démarrer dans "services" il me mets un message : Erreur 1068: Le service ou le groupe de dépendance n'a pas pu démarrer.
Pour info, j'ai déjà désinstallé et réinstallé avast et apres redemarrage window ne detecte aucun logiciel antivirus,
j'ai même essayé de le démarrer dans "services" il me mets un message : Erreur 1068: Le service ou le groupe de dépendance n'a pas pu démarrer.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
FindyKill de Chiquitine29
▶ Fais un clique droit sur le lien et choisis ( "enregistrer la cible sous ...." )( , destination le bureau .
▶ ( Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
▶ Laisse toi guider pour l'installer.
▶ Double clic sur " FindyKill." pour lancer l'outil .
▶ Choisis La langue:F pour français
▶ Choisis l'option 1 . Puis laisses travailler ...
▶ Une fois terminé, postes le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
Les-risques-securitaires-du-peer-to-peer
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
FindyKill de Chiquitine29
▶ Fais un clique droit sur le lien et choisis ( "enregistrer la cible sous ...." )( , destination le bureau .
▶ ( Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
▶ Laisse toi guider pour l'installer.
▶ Double clic sur " FindyKill." pour lancer l'outil .
▶ Choisis La langue:F pour français
▶ Choisis l'option 1 . Puis laisses travailler ...
▶ Une fois terminé, postes le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
Les-risques-securitaires-du-peer-to-peer
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Voici le rapport FindyKill
----------------- FindyKill V4.711 ------------------
* User : ESCOT - ESCOTFAMILY
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/01/09 par Chiquitine29
* Recherche effectuée à 19:28:34 le 05/01/2009
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
Found ! [05/01/2009 14:33] - C:\WINDOWS\system32\mdelk.exe
Found ! [05/01/2009 14:33] - C:\WINDOWS\system32\wintems.exe
Found ! [05/01/2009 18:59] - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\ESCOT\Application Data
Found ! [05/01/2009 14:37] - "C:\Documents and Settings\ESCOT\Application Data\m\flec006.exe"
Found ! [05/01/2009 14:38] - "C:\Documents and Settings\ESCOT\Application Data\m\list.oct"
Found ! [05/01/2009 14:38] - "C:\Documents and Settings\ESCOT\Application Data\m\data.oct"
Found ! [05/01/2009 14:38] - "C:\Documents and Settings\ESCOT\Application Data\m\srvlist.oct"
Found ! [05/01/2009 18:58] - "C:\Documents and Settings\ESCOT\Application Data\m\shared"
Found ! [05/01/2009 14:17] - "C:\Documents and Settings\ESCOT\Application Data\m"
Found ! [05/01/2009 14:58] - "C:\Documents and Settings\ESCOT\Application Data\drivers"
Found ! [05/01/2009 14:26] - "C:\Documents and Settings\ESCOT\Application Data\drivers\srosa.sys"
Found ! [05/01/2009 14:41] - "C:\Documents and Settings\ESCOT\Application Data\drivers\downld"
»»»» Presence des fichiers dans C:\DOCUME~1\ESCOT\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5
Found ! [05/01/2009 18:59] - C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5\3I06VTU6\file[1].txt
Found ! [07/12/2008 20:51] - C:\Program Files\EA GAMES\Les Sims 2\filelist.txt
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\jusched]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\key_gen]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
EapHost - Type de démarrage = 3
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
----------------- FindyKill V4.711 ------------------
* User : ESCOT - ESCOTFAMILY
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/01/09 par Chiquitine29
* Recherche effectuée à 19:28:34 le 05/01/2009
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
Found ! [05/01/2009 14:33] - C:\WINDOWS\system32\mdelk.exe
Found ! [05/01/2009 14:33] - C:\WINDOWS\system32\wintems.exe
Found ! [05/01/2009 18:59] - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\ESCOT\Application Data
Found ! [05/01/2009 14:37] - "C:\Documents and Settings\ESCOT\Application Data\m\flec006.exe"
Found ! [05/01/2009 14:38] - "C:\Documents and Settings\ESCOT\Application Data\m\list.oct"
Found ! [05/01/2009 14:38] - "C:\Documents and Settings\ESCOT\Application Data\m\data.oct"
Found ! [05/01/2009 14:38] - "C:\Documents and Settings\ESCOT\Application Data\m\srvlist.oct"
Found ! [05/01/2009 18:58] - "C:\Documents and Settings\ESCOT\Application Data\m\shared"
Found ! [05/01/2009 14:17] - "C:\Documents and Settings\ESCOT\Application Data\m"
Found ! [05/01/2009 14:58] - "C:\Documents and Settings\ESCOT\Application Data\drivers"
Found ! [05/01/2009 14:26] - "C:\Documents and Settings\ESCOT\Application Data\drivers\srosa.sys"
Found ! [05/01/2009 14:41] - "C:\Documents and Settings\ESCOT\Application Data\drivers\downld"
»»»» Presence des fichiers dans C:\DOCUME~1\ESCOT\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5
Found ! [05/01/2009 18:59] - C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5\3I06VTU6\file[1].txt
Found ! [07/12/2008 20:51] - C:\Program Files\EA GAMES\Les Sims 2\filelist.txt
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\jusched]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\key_gen]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-1078081533-963894560-839522115-1004\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
EapHost - Type de démarrage = 3
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
Re,
Findykill de chiquitine29 option 2:
▶ Branche tes disques amovibles à ton PC ( (clefs USB, disque dur externe, etc...) sans les ouvrir
▶ Double-clique sur le raccourci FindyKill sur ton bureau
▶ Au menu principal, choisisl'option 2 (Suppression)
/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
▶ Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Findykill de chiquitine29 option 2:
▶ Branche tes disques amovibles à ton PC ( (clefs USB, disque dur externe, etc...) sans les ouvrir
▶ Double-clique sur le raccourci FindyKill sur ton bureau
▶ Au menu principal, choisisl'option 2 (Suppression)
/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\
▶ Ensuite, poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
ci dessous le rapport Findykill
A savoir qu'après le second redémarrage le PC a bloqué sur un bureau vide, j'ai attendu 1h30 mais il resté toujours vide j'ai donc pris l'initiative de le redémarrer.Ai-je bien fait?
----------------- FindyKill V4.711 ------------------
* User : ESCOT - ESCOTFAMILY
* executed from : C:\Program Files\FindyKill
* Update on 05/01/09 par Chiquitine29
* Start at 20:09:10 the 05/01/2009
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((( *** deleting *** ))))))))))))))))))
--------------- [ Active Processes ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
--------------- [ Infected files / folders ] ----------------
»»»» Supression files in C:
»»»» Supression files in C:\WINDOWS
»»»» Supression files in C:\WINDOWS\Prefetch
»»»» Supression files in C:\WINDOWS\system32
»»»» Supression files in C:\WINDOWS\system32\drivers
»»»» Supression files in C:\Documents and Settings\ESCOT\Application Data
»»»» Supression files in C:\DOCUME~1\ESCOT\LOCALS~1\Temp
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe
»»»» Supression files in C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5
Deleted ! - C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5\3I06VTU6\file[1].txt
--------------- [ Registry / Infected keys ] ----------------
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe
--------------- [ States / Restarting of services ] ----------------
+- Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - Type of startup = 3
EapHost - Type of startup = 2
Ip6Fw - Type of startup = 2
SharedAccess - Type of startup = 2
wuauserv - Type of startup = 2
wscsvc - Type of startup = 2
A savoir qu'après le second redémarrage le PC a bloqué sur un bureau vide, j'ai attendu 1h30 mais il resté toujours vide j'ai donc pris l'initiative de le redémarrer.Ai-je bien fait?
----------------- FindyKill V4.711 ------------------
* User : ESCOT - ESCOTFAMILY
* executed from : C:\Program Files\FindyKill
* Update on 05/01/09 par Chiquitine29
* Start at 20:09:10 the 05/01/2009
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((( *** deleting *** ))))))))))))))))))
--------------- [ Active Processes ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
--------------- [ Infected files / folders ] ----------------
»»»» Supression files in C:
»»»» Supression files in C:\WINDOWS
»»»» Supression files in C:\WINDOWS\Prefetch
»»»» Supression files in C:\WINDOWS\system32
»»»» Supression files in C:\WINDOWS\system32\drivers
»»»» Supression files in C:\Documents and Settings\ESCOT\Application Data
»»»» Supression files in C:\DOCUME~1\ESCOT\LOCALS~1\Temp
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe
»»»» Supression files in C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5
Deleted ! - C:\Documents and Settings\ESCOT\Local Settings\Temporary Internet Files\Content.IE5\3I06VTU6\file[1].txt
--------------- [ Registry / Infected keys ] ----------------
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mdelk.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wintems.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\flec006.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hldrrr.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winfilse.exe
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winupgro.exe
--------------- [ States / Restarting of services ] ----------------
+- Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - Type of startup = 3
EapHost - Type of startup = 2
Ip6Fw - Type of startup = 2
SharedAccess - Type of startup = 2
wuauserv - Type of startup = 2
wscsvc - Type of startup = 2
Re,
Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...
Fais exactement ce qui suit :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).
Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .
Appuie sur une touche pour démarrer le scan .
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...
Fais exactement ce qui suit :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).
Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .
Appuie sur une touche pour démarrer le scan .
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
ok cette manipulation me paraît bien pointilleuse et voire délicate pour une novice que je suis et je préfère attendre demain avec les idées claires pour me mettre a la tâche.
je précise que mon CD d'installation Window est le Pack SP1 et que depuis il a été mis a jour avec le pack SP3.
cela a t il grosse importance?
je précise que mon CD d'installation Window est le Pack SP1 et que depuis il a été mis a jour avec le pack SP3.
cela a t il grosse importance?
Re,
Tu passera si problème par le sp1 et sp2 et sp3 mais t'inquiètepas tout ira bien si tu suit bien les mises en gardes.
Regarde bien le tutoriel et ensuite fait le .
On est pas aux pièces.
A++
Tu passera si problème par le sp1 et sp2 et sp3 mais t'inquiètepas tout ira bien si tu suit bien les mises en gardes.
Regarde bien le tutoriel et ensuite fait le .
On est pas aux pièces.
A++
je vais d'abord passer une bonne nuit et on verra ça demain, je te tiens au courant.
Merci et bonne soirée.
Merci et bonne soirée.
Bonjour,
Voici le rapport de C-Fix.exe: Que dois-je faire ensuite?
ComboFix 09-01-05.02 - ESCOT 2009-01-06 14:50:38.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1279.910 [GMT 1:00]
Lancé depuis: c:\documents and settings\ESCOT\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\ESCOT\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-05 19:27 . 2009-01-05 21:50 <REP> d-------- c:\program files\Findykill
2009-01-04 15:56 . 2009-01-05 15:58 <REP> d-------- c:\documents and settings\ESCOT\Application Data\uTorrent
2008-12-16 19:10 . 2008-12-16 19:09 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 17:49 . 2008-12-29 09:49 <REP> d-------- c:\program files\KompoZer
2008-12-11 09:53 . 2008-12-11 09:53 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-12-08 12:57 . 2008-12-08 12:57 <REP> d-------- c:\program files\Maïdo Production
2008-12-08 11:05 . 2008-12-11 20:21 <REP> d-------- c:\documents and settings\ESCOT\Application Data\Nvu
2008-12-08 11:00 . 2008-12-15 17:43 <REP> d-------- c:\program files\Nvu
2008-12-07 20:45 . 2008-12-07 20:45 <REP> d-------- c:\program files\EA GAMES
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 12:17 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-05 17:42 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-05 17:42 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-05 17:40 --------- d-----w c:\program files\CCleaner
2009-01-05 14:58 --------- d-----w c:\program files\eMule
2009-01-05 13:21 --------- d-----w c:\program files\Alwil Software
2008-12-16 18:09 --------- d-----w c:\program files\Java
2008-12-11 08:53 --------- d-----w c:\program files\Messenger Plus! Live
2008-12-09 18:07 --------- d-----w c:\documents and settings\All Users\Application Data\Skyline
2008-12-06 14:04 --------- d-----w c:\documents and settings\ESCOT\Application Data\FileZilla
2008-12-03 15:38 --------- d-----w c:\program files\OpenOffice.org 3
2008-12-03 15:27 --------- d-----w c:\documents and settings\ESCOT\Application Data\OpenOffice.org
2008-11-22 17:48 --------- d-----w c:\program files\Picasa2
2008-11-22 17:47 --------- d-----w c:\program files\Google
2008-11-21 09:55 --------- d-----w c:\program files\FileZilla FTP Client
2008-11-21 09:24 --------- d-----w c:\documents and settings\ESCOT\Application Data\Vso
2008-11-18 19:51 --------- d-----w c:\program files\EasyPHP 2.0b1
2008-11-07 17:04 --------- d-----w c:\documents and settings\ESCOT\Application Data\KompoZer
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-05-11 18:23 47,360 ----a-w c:\documents and settings\ESCOT\Application Data\pcouffin.sys
2008-02-22 21:51 40 ----a-w c:\documents and settings\ESCOT\language.dat
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-08-19 14:10 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081920080820\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Games\\Halo Trial\\halo.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:*:Disabled:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:*:Disabled:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:*:Disabled:@xpsp2res.dll,-22017
R1 as6eio;as6eio;c:\windows\system32\drivers\As6eio.sys [2008-02-03 3616]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: &Search - ?p=ZCfox000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: *.localhost
O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd
O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
c:\windows\Downloaded Program Files\GoogleGadgetPluginIEWin.dll - O16 -: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D}
hxxp://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
c:\windows\Downloaded Program Files\install.inf
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf
FF - ProfilePath - c:\documents and settings\ESCOT\Application Data\Mozilla\Firefox\Profiles\j61imy6s.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 14:51:32
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-01-06 14:52:29
ComboFix-quarantined-files.txt 2009-01-06 13:52:19
Avant-CF: 55 356 805 120 octets libres
Après-CF: 55,305,715,712 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
147 --- E O F --- 2008-12-18 09:38:34
Voici le rapport de C-Fix.exe: Que dois-je faire ensuite?
ComboFix 09-01-05.02 - ESCOT 2009-01-06 14:50:38.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1279.910 [GMT 1:00]
Lancé depuis: c:\documents and settings\ESCOT\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\ESCOT\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-05 19:27 . 2009-01-05 21:50 <REP> d-------- c:\program files\Findykill
2009-01-04 15:56 . 2009-01-05 15:58 <REP> d-------- c:\documents and settings\ESCOT\Application Data\uTorrent
2008-12-16 19:10 . 2008-12-16 19:09 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-15 17:49 . 2008-12-29 09:49 <REP> d-------- c:\program files\KompoZer
2008-12-11 09:53 . 2008-12-11 09:53 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-12-08 12:57 . 2008-12-08 12:57 <REP> d-------- c:\program files\Maïdo Production
2008-12-08 11:05 . 2008-12-11 20:21 <REP> d-------- c:\documents and settings\ESCOT\Application Data\Nvu
2008-12-08 11:00 . 2008-12-15 17:43 <REP> d-------- c:\program files\Nvu
2008-12-07 20:45 . 2008-12-07 20:45 <REP> d-------- c:\program files\EA GAMES
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 12:17 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-05 17:42 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-05 17:42 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-05 17:40 --------- d-----w c:\program files\CCleaner
2009-01-05 14:58 --------- d-----w c:\program files\eMule
2009-01-05 13:21 --------- d-----w c:\program files\Alwil Software
2008-12-16 18:09 --------- d-----w c:\program files\Java
2008-12-11 08:53 --------- d-----w c:\program files\Messenger Plus! Live
2008-12-09 18:07 --------- d-----w c:\documents and settings\All Users\Application Data\Skyline
2008-12-06 14:04 --------- d-----w c:\documents and settings\ESCOT\Application Data\FileZilla
2008-12-03 15:38 --------- d-----w c:\program files\OpenOffice.org 3
2008-12-03 15:27 --------- d-----w c:\documents and settings\ESCOT\Application Data\OpenOffice.org
2008-11-22 17:48 --------- d-----w c:\program files\Picasa2
2008-11-22 17:47 --------- d-----w c:\program files\Google
2008-11-21 09:55 --------- d-----w c:\program files\FileZilla FTP Client
2008-11-21 09:24 --------- d-----w c:\documents and settings\ESCOT\Application Data\Vso
2008-11-18 19:51 --------- d-----w c:\program files\EasyPHP 2.0b1
2008-11-07 17:04 --------- d-----w c:\documents and settings\ESCOT\Application Data\KompoZer
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-05-11 18:23 47,360 ----a-w c:\documents and settings\ESCOT\Application Data\pcouffin.sys
2008-02-22 21:51 40 ----a-w c:\documents and settings\ESCOT\language.dat
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-08-19 14:10 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081920080820\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Games\\Halo Trial\\halo.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:*:Disabled:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:*:Disabled:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:*:Disabled:@xpsp2res.dll,-22017
R1 as6eio;as6eio;c:\windows\system32\drivers\As6eio.sys [2008-02-03 3616]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: &Search - ?p=ZCfox000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: *.localhost
O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd
O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
c:\windows\Downloaded Program Files\GoogleGadgetPluginIEWin.dll - O16 -: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D}
hxxp://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
c:\windows\Downloaded Program Files\install.inf
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf
FF - ProfilePath - c:\documents and settings\ESCOT\Application Data\Mozilla\Firefox\Profiles\j61imy6s.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 14:51:32
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-01-06 14:52:29
ComboFix-quarantined-files.txt 2009-01-06 13:52:19
Avant-CF: 55 356 805 120 octets libres
Après-CF: 55,305,715,712 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
147 --- E O F --- 2008-12-18 09:38:34
Re,
▶ Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte
▶ Mets le à jour
▶ Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
▶ Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
▶ clique sur Rechercher
▶ Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok
▶ Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
▶ Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection
▶ Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.
Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Tutoriel pour MalwareByte's
▶ Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte
▶ Mets le à jour
▶ Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
▶ Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
▶ clique sur Rechercher
▶ Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok
▶ Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
▶ Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection
▶ Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.
Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Tutoriel pour MalwareByte's
Ci dessous le rapport demandé:
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1624
Windows 5.1.2600 Service Pack 3
06/01/2009 15:46:34
mbam-log-2009-01-06 (15-46-34).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 128795
Temps écoulé: 41 minute(s), 10 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP460\A0119135.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP463\A0119411.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP463\A0119541.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP463\A0119552.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP464\A0119564.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP464\A0119598.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP464\A0119638.sys (Worm.Bagel) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1624
Windows 5.1.2600 Service Pack 3
06/01/2009 15:46:34
mbam-log-2009-01-06 (15-46-34).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 128795
Temps écoulé: 41 minute(s), 10 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP460\A0119135.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP463\A0119411.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP463\A0119541.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP463\A0119552.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP464\A0119564.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP464\A0119598.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{82CE2D0C-48B9-4C78-91E9-A9830B706FAF}\RP464\A0119638.sys (Worm.Bagel) -> Quarantined and deleted successfully.
Re,
▶ Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
▶ Double clique sur RSIT.exe pour lancer l'outil.
▶ Clique sur ' continue ' à l'écran Disclaimer.
▶ Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
( log.txt & info.txt )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
▶ Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
▶ Double clique sur RSIT.exe pour lancer l'outil.
▶ Clique sur ' continue ' à l'écran Disclaimer.
▶ Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
( log.txt & info.txt )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Et puis, certains ne mettent pas qu'ils on déja cherché!! Comment peut-on savoir qu'il l'ont déja fait?!
Bah, c'est vrai que j'ai parfois la flemme de chercher sur Google pour les autres!