Infecte par bagle, quelles solutions ?
Résolu
paz
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
apres avoir surfe des heures sur des pages dediees a l´explication de la suppression du virus, et tente bcp de choses, je m´en remets a ce forum, qui peut-etre pourra sauver mon pc. Excusez par avance l´aspect bancal du message, je suis contrainte d´utiliser un ordinateur suedois.
Je pense avoir atrappe un virus bagle par un telechargement malheureux, j´ai donc supprime ce qui avait ete telecharge, mais je ne suis pas certaine que tout ait vraiment disparu.
J´ai constate un soucis quand je n´ai plus eu acces a internet wifi, constate l´erreur 1068 : le service ou le groupe de dependance n´a pu demarrer, utilise eligablan, puis combofix mais combofix ne fonctionnait pas.. j´ai essaye Findykill, qui a fonctionne pour la detection et la suppression ; apres un redemarrage j´ai pu a nouveau avoir acces a internet apres differentes choses bizarres : une erreur systeme pour windows, un logiciel tres bizarre (je me souviens plus du nom :s Nist flight.... black box (vraiment desolee jaurais du noter...).
Je precise aussi que le pc est un portable qui a tendance a surchauffer et que regulierement hier soir quand je tentais tout ca il s´arretait subitement, ce qui perturbait toute la demarche.
J´essaie donc d´installer Avast 4, surchauffe, et au bout du compte l´installation arrive a son terme, mais impossible de demarrer avast, il y a encore un message d´erreur.
Impossible egalement de me lancer msn, mais le vieux windows live messenger fonctionner.. certains programmes ont-ils pu etre supprimes ?
Ensuite, rebelotte, impossible davoir acces a internet (ce qui me fait croire que le telechargement n´a pas ete supprime.. mais ou est-il ? cétait un log de defragmentation eu par p2p, pour tout dire).
Je relance Findykill, a la deuxieme tentative j´ai le rapport de l analyse, je tente l´etape deux, mais voila maintenant plus d´une heure que l´ecran est monopolise par le "deleting files and folders..." ce qui me semble bizarre vu qu´hier cetait allé assez vite.
Voila ou j´en suis, je dois dire que je suis desperee.. Je pense arreter (courant) mon pc et le redemarrer pour voir ce qu´il en est.. et ensuite, que tenter ? J´ai vu conseillé hijcack this..
je sais que je ne suis pas excessivement claire, suis pas une pro de linformatique... dites moi si je dois preciser dautres choses. suis sous xp. j´attends vos reponses.. merci d´avance..
apres avoir surfe des heures sur des pages dediees a l´explication de la suppression du virus, et tente bcp de choses, je m´en remets a ce forum, qui peut-etre pourra sauver mon pc. Excusez par avance l´aspect bancal du message, je suis contrainte d´utiliser un ordinateur suedois.
Je pense avoir atrappe un virus bagle par un telechargement malheureux, j´ai donc supprime ce qui avait ete telecharge, mais je ne suis pas certaine que tout ait vraiment disparu.
J´ai constate un soucis quand je n´ai plus eu acces a internet wifi, constate l´erreur 1068 : le service ou le groupe de dependance n´a pu demarrer, utilise eligablan, puis combofix mais combofix ne fonctionnait pas.. j´ai essaye Findykill, qui a fonctionne pour la detection et la suppression ; apres un redemarrage j´ai pu a nouveau avoir acces a internet apres differentes choses bizarres : une erreur systeme pour windows, un logiciel tres bizarre (je me souviens plus du nom :s Nist flight.... black box (vraiment desolee jaurais du noter...).
Je precise aussi que le pc est un portable qui a tendance a surchauffer et que regulierement hier soir quand je tentais tout ca il s´arretait subitement, ce qui perturbait toute la demarche.
J´essaie donc d´installer Avast 4, surchauffe, et au bout du compte l´installation arrive a son terme, mais impossible de demarrer avast, il y a encore un message d´erreur.
Impossible egalement de me lancer msn, mais le vieux windows live messenger fonctionner.. certains programmes ont-ils pu etre supprimes ?
Ensuite, rebelotte, impossible davoir acces a internet (ce qui me fait croire que le telechargement n´a pas ete supprime.. mais ou est-il ? cétait un log de defragmentation eu par p2p, pour tout dire).
Je relance Findykill, a la deuxieme tentative j´ai le rapport de l analyse, je tente l´etape deux, mais voila maintenant plus d´une heure que l´ecran est monopolise par le "deleting files and folders..." ce qui me semble bizarre vu qu´hier cetait allé assez vite.
Voila ou j´en suis, je dois dire que je suis desperee.. Je pense arreter (courant) mon pc et le redemarrer pour voir ce qu´il en est.. et ensuite, que tenter ? J´ai vu conseillé hijcack this..
je sais que je ne suis pas excessivement claire, suis pas une pro de linformatique... dites moi si je dois preciser dautres choses. suis sous xp. j´attends vos reponses.. merci d´avance..
A voir également:
- Infecte par bagle, quelles solutions ?
- Alerte windows ordinateur infecté - Accueil - Arnaque
- Driver pack solutions - Télécharger - Divers Utilitaires
- Hp support solutions framework c'est quoi - Forum Programmation
- Windows ne démarre pas solutions - Guide
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. ✓ - Forum Antivirus
93 réponses
résultat du malawarebytes :
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3
2009-01-16 15:30:37
mbam-log-2009-01-16 (15-30-37).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 133752
Temps écoulé: 40 minute(s), 37 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
quelles conclusions tirer ?
le cas n'est pas désespéré hein ?
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3
2009-01-16 15:30:37
mbam-log-2009-01-16 (15-30-37).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 133752
Temps écoulé: 40 minute(s), 37 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
quelles conclusions tirer ?
le cas n'est pas désespéré hein ?
combofix reessaye, meme erreur qu´auparavant !
un fichier supprime : C:\....\svchost.exe
pas eu le temps de noter en entier desolee
:s je fais quoi ?
un fichier supprime : C:\....\svchost.exe
pas eu le temps de noter en entier desolee
:s je fais quoi ?
au demarrage j´ai une fenetre qui s´ouvre tres brievement, idem pas eu le temps de noter entierement
ca fini par winupgro.exe
plus un message d´erreur de windows : le systeme a recupere d´une erreur serieuse
ca fini par winupgro.exe
plus un message d´erreur de windows : le systeme a recupere d´une erreur serieuse
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
au fait jai relance une analyse de malwarebytes, et a chaquefois j´ai trois fichiers infectes et je peux en supprimer deux qui reapparaissent a la verification suivante...
resultat eligable
Fri Jan 16 16:12:53 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri Jan 16 16:13:07 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6879
Nº Total de Ficheros: 77514
Nº de Ficheros Analizados: 14742
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fri Jan 16 16:17:40 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6879
Nº Total de Ficheros: 77514
Nº de Ficheros Analizados: 14742
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
???
Fri Jan 16 16:12:53 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri Jan 16 16:13:07 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6879
Nº Total de Ficheros: 77514
Nº de Ficheros Analizados: 14742
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fri Jan 16 16:17:40 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6879
Nº Total de Ficheros: 77514
Nº de Ficheros Analizados: 14742
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
???
C:\DOCUMENTS AND SETTINGS\BARBARA\APPLICATION DATA\DRIVERS\WINUPGRO.EXE
C:\WINDOWS\svchost.exe
je peux supprimer ca avec un programme special suppression ? en redemarrant en mode sans erreur ?
:(
C:\WINDOWS\svchost.exe
je peux supprimer ca avec un programme special suppression ? en redemarrant en mode sans erreur ?
:(
ok voila ce que ca donne
----------------- FindyKill V4.712 ------------------
* User : barbara - ALASKA
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 17:04:41 le 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [2009-01-16 16:12] - "C:\Muestras"
Found ! [2009-01-16 17:03] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\barbara\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\barbara\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BitTorrent DNA="C:\Program Files\DNA\btdna.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
igfxtray=C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
igfxpers=C:\WINDOWS\system32\igfxpers.exe
ehTray=C:\WINDOWS\ehome\ehtray.exe
LaunchApp=Alaunch
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
AzMixerSel=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
ntiMUI=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
ADMTray.exe="C:\Acer\Empowering Technology\admtray.exe"
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ePower_DMC=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer ePower Management=C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\Monitor.exe
LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE
LogitechCameraAssistant=C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
LogitechVideo[inspector]=C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
LogitechCameraService(E)=C:\WINDOWS\system32\ElkCtrl.exe /automation
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
USB Storage Toolbox=C:\Program Files\USB Disk Win98 Driver\Res.EXE
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
avast!=C:\PROGRA~1\ALWILS~1\Avast2\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=
Installed=1
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Launch Tool]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 2
Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
je passe a letape deux ?
----------------- FindyKill V4.712 ------------------
* User : barbara - ALASKA
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 17:04:41 le 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [2009-01-16 16:12] - "C:\Muestras"
Found ! [2009-01-16 17:03] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\barbara\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\barbara\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BitTorrent DNA="C:\Program Files\DNA\btdna.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
igfxtray=C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
igfxpers=C:\WINDOWS\system32\igfxpers.exe
ehTray=C:\WINDOWS\ehome\ehtray.exe
LaunchApp=Alaunch
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
AzMixerSel=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
ntiMUI=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
ADMTray.exe="C:\Acer\Empowering Technology\admtray.exe"
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ePower_DMC=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer ePower Management=C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\Monitor.exe
LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE
LogitechCameraAssistant=C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
LogitechVideo[inspector]=C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
LogitechCameraService(E)=C:\WINDOWS\system32\ElkCtrl.exe /automation
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
USB Storage Toolbox=C:\Program Files\USB Disk Win98 Driver\Res.EXE
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
avast!=C:\PROGRA~1\ALWILS~1\Avast2\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=
Installed=1
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Launch Tool]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 2
Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
je passe a letape deux ?
----------------- FindyKill V4.712 ------------------
* User : barbara - ALASKA
* executed from : C:\Program Files\FindyKill
* Update on 14/01/09 par Chiquitine29
* Start at 17:10:00 the 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((( *** deleting *** ))))))))))))))))))
--------------- [ Active Processes ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
--------------- [ Infected files / folders ] ----------------
»»»» Supression files in C:
Deleted ! - "C:\Muestras"
Deleted ! - C:\InfoSat.txt
»»»» Supression files in C:\WINDOWS
»»»» Supression files in C:\WINDOWS\Prefetch
»»»» Supression files in C:\WINDOWS\system32
»»»» Supression files in C:\WINDOWS\system32\drivers
»»»» Supression files in C:\Documents and Settings\barbara\Application Data
»»»» Supression files in C:\DOCUME~1\barbara\LOCALS~1\Temp
»»»» Supression files in C:\Documents and Settings\barbara\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registry / Infected keys ] ----------------
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
--------------- [ States / Restarting of services ] ----------------
+- Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - Type of startup = 3
EapHost - Type of startup = 2
Ip6Fw - Type of startup = 2
SharedAccess - Type of startup = 2
wuauserv - Type of startup = 2
wscsvc - Type of startup = 2
--------------- [ Cleaning removable drives ] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- deleting files :
--------------- [ Registry / Mountpoint2 ] ----------------
-> Not found !
--------------- [ Searching Other Infections ] ----------------
Références de comparaison Bagle MD5 :
475b7627bc475e71b4297717e8d03cc8 C:\Qoobox\Quarantine\C\WINDOWS\system32\_mdelk_.exe.zip
bbae31a55b498be0838f916fc8823e61 C:\Qoobox\Quarantine\C\WINDOWS\system32\_wintems_.exe.zip
466b8fb5b0bcdb596fed267753ef19d6 C:\Qoobox\Quarantine\C\Documents and Settings\barbara\Application Data\drivers\_winupgro_.exe.zip
33401e357ca50bb899eb290e996ea1bb C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
Suspect ! - 33401e357ca50bb899eb290e996ea1bb C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0004026.exe
Suspect ! - 23759c3885093ce20351c89bf7d7c792 C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0004076.Exe
Suspect ! - 33401e357ca50bb899eb290e996ea1bb C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0009122.exe
--------------- [ Searching Cracks / Keygen ] ----------------
C:\Documents and Settings\barbara\Cookies\barbara@crackle[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@crackserialkeygen[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@crack[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@coolcracks.co.funpic[1].txt
C:\Documents and Settings\barbara\Cookies\barbara@www.zcrack[1].txt
C:\Documents and Settings\barbara\Cookies\barbara@www.keygen[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@crackle[3].txt
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#crackle.com
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#crackle.com\settings.sol
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\#SharedObjects\WDL4V845\crackle.com
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\#SharedObjects\WDL4V845\crackle.com\crackleSettings.sol
C:\Documents and Settings\barbara\Application Data\uTorrent\Reflexive.Arcade.Clue.Classic-[Crack.Only]-iND.zip.torrent
---------------- ! End of report ! ------------------
pour rester en mode sans echec je devais presser f8 juste après les deux redémarrages ?
* User : barbara - ALASKA
* executed from : C:\Program Files\FindyKill
* Update on 14/01/09 par Chiquitine29
* Start at 17:10:00 the 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((( *** deleting *** ))))))))))))))))))
--------------- [ Active Processes ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
--------------- [ Infected files / folders ] ----------------
»»»» Supression files in C:
Deleted ! - "C:\Muestras"
Deleted ! - C:\InfoSat.txt
»»»» Supression files in C:\WINDOWS
»»»» Supression files in C:\WINDOWS\Prefetch
»»»» Supression files in C:\WINDOWS\system32
»»»» Supression files in C:\WINDOWS\system32\drivers
»»»» Supression files in C:\Documents and Settings\barbara\Application Data
»»»» Supression files in C:\DOCUME~1\barbara\LOCALS~1\Temp
»»»» Supression files in C:\Documents and Settings\barbara\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registry / Infected keys ] ----------------
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
--------------- [ States / Restarting of services ] ----------------
+- Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - Type of startup = 3
EapHost - Type of startup = 2
Ip6Fw - Type of startup = 2
SharedAccess - Type of startup = 2
wuauserv - Type of startup = 2
wscsvc - Type of startup = 2
--------------- [ Cleaning removable drives ] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- deleting files :
--------------- [ Registry / Mountpoint2 ] ----------------
-> Not found !
--------------- [ Searching Other Infections ] ----------------
Références de comparaison Bagle MD5 :
475b7627bc475e71b4297717e8d03cc8 C:\Qoobox\Quarantine\C\WINDOWS\system32\_mdelk_.exe.zip
bbae31a55b498be0838f916fc8823e61 C:\Qoobox\Quarantine\C\WINDOWS\system32\_wintems_.exe.zip
466b8fb5b0bcdb596fed267753ef19d6 C:\Qoobox\Quarantine\C\Documents and Settings\barbara\Application Data\drivers\_winupgro_.exe.zip
33401e357ca50bb899eb290e996ea1bb C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
Suspect ! - 33401e357ca50bb899eb290e996ea1bb C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0004026.exe
Suspect ! - 23759c3885093ce20351c89bf7d7c792 C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0004076.Exe
Suspect ! - 33401e357ca50bb899eb290e996ea1bb C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP2\A0009122.exe
--------------- [ Searching Cracks / Keygen ] ----------------
C:\Documents and Settings\barbara\Cookies\barbara@crackle[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@crackserialkeygen[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@crack[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@coolcracks.co.funpic[1].txt
C:\Documents and Settings\barbara\Cookies\barbara@www.zcrack[1].txt
C:\Documents and Settings\barbara\Cookies\barbara@www.keygen[2].txt
C:\Documents and Settings\barbara\Cookies\barbara@crackle[3].txt
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#crackle.com
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#crackle.com\settings.sol
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\#SharedObjects\WDL4V845\crackle.com
C:\Documents and Settings\barbara\Application Data\Macromedia\Flash Player\#SharedObjects\WDL4V845\crackle.com\crackleSettings.sol
C:\Documents and Settings\barbara\Application Data\uTorrent\Reflexive.Arcade.Clue.Classic-[Crack.Only]-iND.zip.torrent
---------------- ! End of report ! ------------------
pour rester en mode sans echec je devais presser f8 juste après les deux redémarrages ?
le reste des cracks, manuellement ? quels cracks ?( je crois pas en avoir)
* Ces cracks là par exemple !
* Ces cracks là par exemple !
oui mais c'est ok !
Vire combofix et son dossier Qoobox : C:\Qoobox
Bagle est ds la quarantaine de combofix il faut suppprimer combofix !
Vire combofix et son dossier Qoobox : C:\Qoobox
Bagle est ds la quarantaine de combofix il faut suppprimer combofix !
ok alors...
j'ignorais que j'avais des cracks (?), enfin j'ai supprime tout ce qu'il y avait là
supprimés aussi tout combofix, combo-fix, janvier, et autres killbaglle,
voici un scann eligable après ça... je dois faire d'autres scans ? Avasts ne marche tjrs pas (entre autres)
Fri Jan 16 18:10:56 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Jan 16 18:10:57 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6867
Nº Total de Ficheros: 71602
Nº de Ficheros Analizados: 14894
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fri Jan 16 18:15:26 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Jan 16 18:15:28 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6865
Nº Total de Ficheros: 71410
Nº de Ficheros Analizados: 14894
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
j'ignorais que j'avais des cracks (?), enfin j'ai supprime tout ce qu'il y avait là
supprimés aussi tout combofix, combo-fix, janvier, et autres killbaglle,
voici un scann eligable après ça... je dois faire d'autres scans ? Avasts ne marche tjrs pas (entre autres)
Fri Jan 16 18:10:56 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Jan 16 18:10:57 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6867
Nº Total de Ficheros: 71602
Nº de Ficheros Analizados: 14894
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fri Jan 16 18:15:26 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Jan 16 18:15:28 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 6865
Nº Total de Ficheros: 71410
Nº de Ficheros Analizados: 14894
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Voila le rapport du findykill après avoir etape 1.
----------------- FindyKill V4.712 ------------------
* User : barbara - ALASKA
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 18:17:24 le 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [2009-01-16 18:15] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\barbara\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\barbara\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BitTorrent DNA="C:\Program Files\DNA\btdna.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
igfxtray=C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
igfxpers=C:\WINDOWS\system32\igfxpers.exe
ehTray=C:\WINDOWS\ehome\ehtray.exe
LaunchApp=Alaunch
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
AzMixerSel=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
ntiMUI=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
ADMTray.exe="C:\Acer\Empowering Technology\admtray.exe"
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ePower_DMC=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer ePower Management=C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\Monitor.exe
LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE
LogitechCameraAssistant=C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
LogitechVideo[inspector]=C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
LogitechCameraService(E)=C:\WINDOWS\system32\ElkCtrl.exe /automation
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
USB Storage Toolbox=C:\Program Files\USB Disk Win98 Driver\Res.EXE
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
avast!=C:\PROGRA~1\ALWILS~1\Avast2\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=
Installed=1
--------------- [ Registre / Clés infectieuses ] ----------------
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 2
Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
----------------- FindyKill V4.712 ------------------
* User : barbara - ALASKA
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 18:17:24 le 2009-01-16
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [2009-01-16 18:15] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\barbara\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\barbara\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BitTorrent DNA="C:\Program Files\DNA\btdna.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
igfxtray=C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
igfxpers=C:\WINDOWS\system32\igfxpers.exe
ehTray=C:\WINDOWS\ehome\ehtray.exe
LaunchApp=Alaunch
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
AzMixerSel=C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
ntiMUI=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
ADMTray.exe="C:\Acer\Empowering Technology\admtray.exe"
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ePower_DMC=C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer ePower Management=C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\Monitor.exe
LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE
LogitechCameraAssistant=C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
LogitechVideo[inspector]=C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
LogitechCameraService(E)=C:\WINDOWS\system32\ElkCtrl.exe /automation
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
USB Storage Toolbox=C:\Program Files\USB Disk Win98 Driver\Res.EXE
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
avast!=C:\PROGRA~1\ALWILS~1\Avast2\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
<NO NAME>=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
<NO NAME>=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
<NO NAME>=
Installed=1
--------------- [ Registre / Clés infectieuses ] ----------------
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 2
Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
et voilà le rapport de malware...
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3
2009-01-16 18:34:28
mbam-log-2009-01-16 (18-34-28).txt
Type de recherche: Examen rapide
Eléments examinés: 53562
Temps écoulé: 3 minute(s), 34 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
je ne sais pas quoi faire avec ces svchost.exe qui semblent être en cause...
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3
2009-01-16 18:34:28
mbam-log-2009-01-16 (18-34-28).txt
Type de recherche: Examen rapide
Eléments examinés: 53562
Temps écoulé: 3 minute(s), 34 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
je ne sais pas quoi faire avec ces svchost.exe qui semblent être en cause...
