Hacktool.rootkit

Résolu
fabnok Messages postés 36 Statut Membre -  
fabnok Messages postés 36 Statut Membre -
Bonjour,
Bonjour mon pc est infecter par ce virus "hacktool.rootkit" je ne sais pas comment m'en débarasser

aurais besoin d'aide svp
j'ai vu sur le forum qu'il fallais utiliser USBFIX je joint le rapport de celui ci ,car après je voit pas que faire :-)
j'ai fait tourner norton il trouve 5 fois ce virus mais rêgle pas le problème

A l'aide svp

d'avance merci

-------------- UsbFix V2.414.3 ---------------

* User : moi et moi
* Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 8:29:43 le ven. 16/01/2009
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

--------------- [ Informations lecteurs ] ----------------

C: - Fixed Drive

--------------- [ Lecteur C ] ----------------

C: - Fixed Drive

+- Listing des fichiers présents :

[22/11/2007 10:14][--a------] C:\AUTOEXEC.BAT
[04/08/2004 13:00][-rahs----] C:\NTDETECT.COM
[10/12/2008 17:09][-rahs----] C:\boot.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewalarmportnumber.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewbinportnumber.ini
[12/12/2008 14:35][--a------] C:\test.txt
[12/12/2008 14:35][--a------] C:\UsbFix.txt
[22/11/2007 10:14][--a------] C:\CONFIG.SYS
[22/11/2007 10:14][--a------] C:\hiberfil.sys
[22/11/2007 10:14][--a------] C:\IO.SYS
[22/11/2007 10:14][--a------] C:\MSDOS.SYS
[22/11/2007 10:14][--a------] C:\pagefile.sys

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
SoundMAX=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[22/11/2007 10:14][--a------] C:\AUTOEXEC.BAT
[04/08/2004 13:00][-rahs----] C:\NTDETECT.COM
[10/12/2008 17:09][-rahs----] C:\boot.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewalarmportnumber.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewbinportnumber.ini

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------
Configuration: Windows XP
Internet Explorer 7.0

32 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par hacktool.rootkit est signalée sur un PC Windows XP et l'objectif est d'utiliser UsbFix pour nettoyer le système, après des détections répétées par Norton. Plusieurs conseils exposent des démarches de nettoyage plus poussées, comme désactiver les protections actives, préparer une console de récupération et lancer ComboFix pour générer un rapport et nettoyer les éléments infectieux. D'autres interventions évoquent la suppression des éléments persistants en analysant les services, les clés de registre et les programmes démarrés au lancement, afin d'éliminer les processus et fichiers malveillants. En complément, des recommandations insistent sur la déconnexion du net, la désactivation des protections résidentes lors du nettoyage et la vérification des sauvegardes et supports amovibles pour prévenir une réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Télécharge FindyKill de ( Chiquitine29 )
    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    Important : Installe le sur le bureau

    Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils )

    --> Lance l' installation avec les paramètres par defaut
    --> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci FindyKill sur ton bureau
    --> Au menu principal,choisis l'option 1 (Recherche)

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      Verni29,
      merci pour l'aide ,voici le rapport de findykill


      ----------------- FindyKill V4.712 ------------------

      * User : moi et moi
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 14/01/09 par Chiquitine29
      * Recherche effectuée à 11:06:16 le ven. 16/01/2009
      * Windows XP - Internet Explorer 7.0.5730.13

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\WINDOWS\system32\AccelerometerSt.exe
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\HW LMT\tray\bin\ilmt_tray.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      C:\HW LMT\server\lmtserver\bin\lmt_server.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
      C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
      C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Internet Explorer\iexplore.exe

      --------------- [ Processus infectieux stoppés ] ----------------


      "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (2432)


      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:


      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


      »»»» Presence des fichiers dans C:\Documents and Settings\f_devits\Application Data

      Found ! [16/01/2009 08:32] - "C:\Documents and Settings\f_devits\Application Data\drivers"
      Found ! [16/01/2009 08:32] - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
      Found ! [15/09/2006 05:07] - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
      Found ! [16/01/2009 09:42] - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"

      »»»» Presence des fichiers dans C:\DOCUME~1\f_devits\LOCALS~1\Temp


      --------------- [ Registre / Startup ] ----------------

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
      swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      SoundMAX=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
      IgfxTray=C:\WINDOWS\system32\igfxtray.exe
      HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
      Persistence=C:\WINDOWS\system32\igfxpers.exe
      SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
      ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
      SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
      QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
      NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
      PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      Installed=1
      NoChange=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1
      <NO NAME>=

      [HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\patch]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

      --------------- [ Registre / Clés infectieuses ] ----------------


      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\patch
      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\bisoft
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
      Found ! - HKEY_CURRENT_USER\Software\bisoft
      Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
      Found ! - [HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit

      /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
      /!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

      --------------- [ Etat / Services ] ----------------

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

      /!\ Mode sans echec non fonctionnel !!



      +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      EapHost - Type de démarrage = 3

      /!\ Ip6Fw - Type de démarrage = 4

      SharedAccess - Type de démarrage = 2

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4


      --------------- [ Recherche dans supports amovibles] ----------------

      Bien à vous
      0
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

    --> Double clic sur le raccourci FindyKill sur ton bureau
    --> Au menu principal,choisi l'option 2 (Suppression)

    /!\ Le pc va redémarrer, laisse travailler l'outil jusqu'à l apparition du message "nettoyage effectué"
    /!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

    Ensuite poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

    2) Télécharge et installe HijackThis .
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Choisir « Download Hijackthis Installer »
    Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer ( si sous Vista --> Click droit et executer en tant qu’administrateur )

    Choisir l'option Do a system scan and save a logfile.
    Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      Verni29

      Voici les rapport :


      ----------------- FindyKill V4.712 ------------------

      * User : moi et moi
      * executed from : C:\Program Files\FindyKill
      * Update on 14/01/09 par Chiquitine29
      * Start at 11:39:40 the ven. 16/01/2009
      * Windows XP - Internet Explorer 7.0.5730.13


      ((((((((((((((( *** deleting *** ))))))))))))))))))


      --------------- [ Active Processes ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\userinit.exe
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      --------------- [ Infected files / folders ] ----------------


      »»»» Supression files in C:


      »»»» Supression files in C:\WINDOWS


      »»»» Supression files in C:\WINDOWS\Prefetch

      Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

      »»»» Supression files in C:\WINDOWS\system32


      »»»» Supression files in C:\WINDOWS\system32\drivers


      »»»» Supression files in C:\Documents and Settings\f_devits\Application Data

      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers"

      »»»» Supression files in C:\DOCUME~1\f_devits\LOCALS~1\Temp


      »»»» Supression files in C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5

      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[1].jpg

      --------------- [ Registry / Infected keys ] ----------------

      Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
      Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
      Deleted ! - HKEY_CURRENT_USER\Software\bisoft
      Deleted ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\patch
      Deleted ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro

      --------------- [ States / Restarting of services ] ----------------

      +- Safe boot mode restored !


      +- Services : [ Auto=2 / Request=3 / Disable=4 ]

      Ndisuio - Type of startup = 3

      EapHost - Type of startup = 2

      Ip6Fw - Type of startup = 2

      SharedAccess - Type of startup = 2

      wuauserv - Type of startup = 2

      wscsvc - Type of startup = 2


      --------------- [ Cleaning removable drives ] ----------------

      +- Informations :

      C: - Fixed Drive

      E: - Removable Drive


      +- deleting files :

      Not deleted !! - C:\autorun.inf

      --------------- [ Registry / Mountpoint2 ] ----------------


      -> Not found !


      --------------- [ Searching Other Infections ] ----------------


      Références de comparaison Bagle MD5 :

      d8a9e541edae327d4fd34bcd80d34eac C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

      Suspect ! - 1b1a6af3581681d8b9cb689c532922ca C:\allu\Crack\AVSVideoConverter.exe
      Suspect ! - 5950bace7502e0cf14f8236fdbb039c7 C:\Program Files\AVS4YOU\AVSSoftwareNavigator\AVS4YOUSoftwareNavigator.exe
      Suspect ! - 4ce59db357385381c20ab44465e5a3ca C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
      Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\Program Files\AVS4YOU\Registration.exe
      Suspect ! - 96011d5a12161242d8c4eeba20e1fe0b C:\Program Files\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe
      Suspect ! - 5e533484167ecc8a976e7ca93ee57caf C:\Program Files\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe
      Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      --------------- [ Searching Cracks / Keygen ] ----------------

      C:\Documents and Settings\f_devits\Recent\Avs Videos Converter V 5 4 Cracks Serial (+ Full Tools5.5 Complet.mp).lnk
      C:\Documents and Settings\f_devits\Recent\AVS.Video.Converter.v6.2.3.314.Incl.Crack-SND.rar.lnk


      ---------------- ! End of report ! ------------------
      et celui ci
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 11:52:29, on 16/01/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16762)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
      O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [LmtSysMonitor] "C:\HW LMT\tray\bin\ilmt_tray.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Bluetooth.lnk = ?
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
      O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1230041888367&h=5b6d621b64ff3a886da30ffb77e666e3/&filename=jinstall-6u11-windows-i586-jc.cab
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = flc2000.com
      O17 - HKLM\Software\..\Telephony: DomainName = flc2000.com
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = flc2000.com
      O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
      O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
      O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
      0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il y avait une infection bagle sur ton PC.
    TU l'as attrapé en téléchargeant un crack !
    Ce n'est pas sans risque que de télécharger ce genre de choses.

    1) Lance Hijackthis et tu choisis " Do a system scan only ".
    Tu sélectionnes les lignes suivantes :

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe


    Tu choisis l'option " Fixchecked" en bas de la page.

    2) Connais-tu ce site, flc2000.com ? Il est dans la liste des DNS

    3) Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
    Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    Le scan dure en moyenne 50 mn.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      OUI verni29 FLC2000.com c'est le serveur du boulot

      Oui j'ai charger un crack ....sorry

      OK je fais ce demander et te répond

      A+ bat
      0
    2. fabnok Messages postés 36 Statut Membre
       
      verni29
      voici le rapport
      Malwarebytes' Anti-Malware 1.33
      Version de la base de données: 1658
      Windows 5.1.2600 Service Pack 3

      16/01/2009 13:50:29
      mbam-log-2009-01-16 (13-50-29).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 138981
      Temps écoulé: 1 hour(s), 10 minute(s), 39 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 7

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP59\A0015356.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP59\A0015365.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP59\A0015373.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015480.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015502.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015486.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015492.sys (Worm.Bagel) -> Quarantined and deleted successfully.
      après le scan au môment d'ouvrir internet explorer j'ai remarquer un drole de programme je n'ai pas eu le temp de voir quel non il porte

      BàT
      0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Une autre question : Je vois que Norton Symantec est présent sur le PC.
    Il fonctionne encore ? Je ne le vois pas comme actif ( en protection sur le PC ) ?
    Le virus Bagle fait sauter toutes les protections ( antivirus, parefeu ) et les rend inactives.
    Il faut bien souvent les réinstaller.

    Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    On va installer la console de récupération pour pouvoir utiliser ComBoFix.
    Choisis le lien suivant ta version de XP ( familiale ou professionnelle ) :

    Windows XP Édition familiale
    http://www.microsoft.com/downloads/details.aspx?FamilyId=15491F07-99F7-4A2D-983D-81C2137FF464&displaylang=fr
    Windows XP Professionnel
    http://www.microsoft.com/downloads/details.aspx?FamilyId=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=fr

    déconnecte toi du net.
    Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    Télécharges la console sur ton bureau ( Important ).

    Glisse/Dépose ce fichier sur l'icone de ComBoFix.
    Regarde le lien suivant si tu ne sais pas ce qu'est un Glisser/Déposer
    http://img.bleepingcomputer.com/combofix/usage/rc.gif

    Ceci va lancer combofix et installer la console de récupération.
    Accepte le contrat de licence.
    Tu devrais avoir un message de confirmation de la bonne installation de la console.
    Clique sur Oui pour continuer le scan.

    Poste le rapport que tu auras obtenu.

    Si tu ne le trouves pas, il se trouve en C:\ComboFix.txt

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      Verni29

      pour la console c'est celle destinée pour le SP2 et je suis en SP3
      j'ai recherché celle pour le SP3 mais je ne la voit pas
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il n'y a pas de console pour le SP3.
    Le SP3 n'est qu'un récapitulatif de tous les correctifs depuis le SP2 ( et une ou deux fonctionnalités supplémentaires comme le WPA ).
    Il faut utiliser la console du SP2.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      ok Verni29
      je ne trouve pas comment deconnecter "symantec antivirus"
      0
  7. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Regarde dans la barre de notification ( ou barre des taches ) .
    Click droit, il me semble et arrête la protection active.

    Sinon, tu le fais en mode sans échec.
    0
    1. fabnok Messages postés 36 Statut Membre
       
      OK verni29 voici le rapport
      ComboFix 09-01-15.01 - f_devits 2009-01-16 14:56:27.1 - NTFSx86
      Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.520 [GMT 1:00]
      Lancé depuis: c:\documents and settings\f_devits\Desktop\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\f_devits\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated)
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\f_devits\Application Data\drivers\downld
      c:\documents and settings\f_devits\Application Data\drivers\downld\234125.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\243828.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\243875.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\269156.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\269718.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\269968.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\279484.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\281781.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\526875.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\527406.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\527453.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\539109.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\540187.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\540812.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\541453.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\542140.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\542578.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\559125.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\559593.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\559843.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\565046.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\593109.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\593359.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\593406.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\7963515.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\7963734.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\7985046.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\7985531.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\7985812.exe
      c:\documents and settings\f_devits\Application Data\drivers\downld\7995609.exe
      c:\documents and settings\f_devits\Application Data\drivers\srosa2.sys
      c:\documents and settings\f_devits\Application Data\drivers\winupgro.exe
      c:\program files\Synaptics\SynTP\SynTPEnh.exe
      C:\test.txt
      c:\windows\system32\cvirt.dll

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_srosa


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-16 au 2009-01-16 ))))))))))))))))))))))))))))))))))))
      .

      2009-01-16 12:33 . 2009-01-16 12:33 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
      2009-01-16 12:33 . 2009-01-16 12:33 <DIR> d-------- c:\documents and settings\f_devits\Application Data\Malwarebytes
      2009-01-16 12:33 . 2009-01-16 12:33 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
      2009-01-16 12:33 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
      2009-01-16 12:33 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
      2009-01-16 11:52 . 2009-01-16 11:52 <DIR> d-------- c:\program files\Trend Micro
      2009-01-16 11:50 . 2009-01-16 14:56 <DIR> d--h----- c:\documents and settings\f_devits\Application Data\drivers
      2009-01-16 11:05 . 2009-01-16 11:47 <DIR> d-------- c:\program files\FindyKill
      2009-01-16 08:24 . 2009-01-16 08:29 <DIR> d-------- c:\program files\UsbFix
      2009-01-11 16:51 . 2009-01-11 16:51 <DIR> d-------- c:\documents and settings\f_devits\Application Data\Nokia
      2009-01-11 16:51 . 2009-01-11 16:51 <DIR> d-------- c:\documents and settings\f_devits\Application Data\Datalayer
      2009-01-07 15:35 . 2009-01-07 15:36 <DIR> d-a------ C:\Devis
      2008-12-23 15:22 . 2008-12-23 15:22 <DIR> d-------- c:\windows\Sun
      2008-12-23 15:21 . 2008-12-23 15:21 <DIR> d-------- c:\program files\Java
      2008-12-23 15:21 . 2008-12-23 15:21 410,984 --a------ c:\windows\system32\deploytk.dll
      2008-12-23 15:21 . 2008-12-23 15:21 73,728 --a------ c:\windows\system32\javacpl.cpl
      2008-12-22 18:43 . 2008-12-22 18:43 <DIR> d-------- c:\documents and settings\f_devits\Application Data\AVS4YOU
      2008-12-22 18:43 . 2008-12-22 18:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\AVS4YOU
      2008-12-22 18:42 . 2008-12-22 19:40 <DIR> d-------- c:\program files\Common Files\AVSMedia
      2008-12-22 18:41 . 2008-12-22 19:40 <DIR> d-------- c:\program files\AVS4YOU
      2008-12-22 18:41 . 2007-02-27 18:36 1,700,352 --a------ c:\windows\system32\GdiPlus.dll
      2008-12-22 18:41 . 2007-02-27 18:36 974,848 --a------ c:\windows\system32\mfc70.dll
      2008-12-22 18:41 . 2007-02-27 18:36 487,424 --a------ c:\windows\system32\msvcp70.dll
      2008-12-22 11:05 . 2009-01-05 13:11 9 --a------ C:\lmtiviewbinportnumber.ini
      2008-12-22 11:05 . 2009-01-05 13:11 9 --a------ C:\lmtiviewalarmportnumber.ini
      2008-12-19 20:33 . 2009-01-15 08:38 <DIR> d-------- C:\music
      2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\system32\scripting
      2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\system32\en
      2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\system32\bits
      2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\l2schemas
      2008-12-19 18:16 . 2008-12-19 18:16 <DIR> d-------- c:\windows\ServicePackFiles
      2008-12-19 14:54 . 2008-12-19 14:54 <DIR> d-------- c:\program files\MSXML 4.0
      2008-12-19 06:07 . 2008-04-14 01:12 4,274,816 --------- c:\windows\system32\nv4_disp.dll
      2008-12-19 06:06 . 2008-04-14 01:11 1,888,992 --------- c:\windows\system32\ati3duag.dll
      2008-12-18 18:47 . 2009-01-11 16:51 <DIR> d-------- c:\documents and settings\f_devits\Phone Browser
      2008-12-18 18:47 . 2008-12-18 18:47 <DIR> d-------- c:\documents and settings\f_devits\Application Data\PC Suite
      2008-12-18 18:46 . 2008-12-18 18:47 <DIR> d-------- c:\program files\Nokia
      2008-12-18 18:46 . 2008-12-18 18:46 <DIR> d-------- c:\program files\Common Files\PCSuite
      2008-12-18 18:46 . 2008-12-18 18:46 <DIR> d-------- c:\program files\Common Files\Nokia

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-01-16 13:22 --------- d-----w c:\program files\Spybot - Search & Destroy
      2009-01-16 13:22 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-01-15 16:30 --------- d-----w c:\program files\eMule
      2009-01-14 15:54 --------- d-----w c:\program files\Symantec AntiVirus
      2009-01-04 20:11 --------- d-----w c:\program files\Google
      2008-12-15 20:35 --------- d-----w c:\documents and settings\All Users\Application Data\WinZip
      2008-12-12 20:41 --------- d-----w c:\documents and settings\f_devits\Application Data\Media Player Classic
      2008-12-12 19:13 --------- d-----w c:\program files\Ahead
      2008-12-12 19:10 --------- d-----w c:\program files\Common Files\Ahead
      2008-12-12 19:10 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
      2008-12-12 18:20 --------- d--h--w c:\program files\InstallShield Installation Information
      2008-12-12 18:17 --------- d-----w c:\program files\SeaMAC V4
      2008-12-12 18:17 --------- d-----w c:\program files\Nortel
      2008-12-12 18:16 --------- d-----w c:\program files\Nortel Networks
      2008-12-12 18:14 --------- d-----w c:\program files\K-Lite Codec Pack
      2008-12-12 18:12 --------- d-----w c:\program files\Windows Media Connect 2
      2008-12-12 13:36 --------- d-----w c:\program files\Common Files\Adobe
      2008-12-12 13:34 --------- d-----w c:\program files\QuickTime
      2008-12-12 13:34 --------- d-----w c:\program files\PDFCreator
      2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
      2008-12-10 17:00 --------- d-----w c:\program files\Microsoft Works
      2008-12-10 16:55 --------- d-----w c:\program files\Microsoft CAPICOM 2.1.0.2
      2008-12-10 16:21 --------- d-----w c:\program files\Symantec
      2008-12-10 16:21 --------- d-----w c:\program files\Common Files\Symantec Shared
      2008-12-10 16:21 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
      2008-12-10 16:17 --------- d-----w c:\program files\HPQ
      2008-12-10 16:17 --------- d-----w c:\program files\Hewlett-Packard
      2008-12-10 16:17 --------- d-----w c:\documents and settings\Administrator\Application Data\hpqLog
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
      "PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-04-20 847872]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
      "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
      "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-03 138008]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-03 162584]
      "Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-03 138008]
      "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-05-02 163840]
      "AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.exe" [2007-01-24 124928]
      "ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-07-19 52896]
      "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-09-27 125168]
      "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
      "LmtSysMonitor"="c:\hw lmt\tray\bin\ilmt_tray.exe" [2007-10-08 53248]
      "PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-03-22 167936]
      "DataLayer"="c:\program files\Common Files\PCSuite\DataLayer\DataLayer.exe" [2005-03-31 1106944]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-23 136600]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      c:\documents and settings\All Users\Start Menu\Programs\Startup\
      Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]
      WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-09-10 525664]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-183583537-3401663046-353351459-3168\Scripts\Logon\[u]0/u\[u]0/u]
      "Script"=\\flcsrv02\NETLOGON\login.bat

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\HW LMT\\server\\lmtserver\\bin\\lmt_server.exe"=
      "c:\\HW LMT\\uninstall\\jre\\jre_win\\bin\\javaw.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v17a301\\tidle32.exe"=
      "c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v17a301\\til_coam98.exe"=
      "c:\\HW LMT\\client\\lmt_client.exe"=
      "c:\\HW LMT\\adaptor\\serveradaptor\\NodeB\\lib\\SFTPServer.exe"=
      "c:\\HW LMT\\uninstall\\jre\\jre_win\\bin\\java.exe"=
      "c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v16a304\\tidle32.exe"=
      "c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v16a304\\til_coam98.exe"=

      R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-12-10 99376]
      R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-01-23 36608]
      S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-07-17 35072]
      S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2006-09-27 116464]
      .
      .
      ------- Examen supplémentaire -------
      .
      IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-01-16 15:02:42
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      c:\windows\system32\scardsvr.exe
      c:\windows\system32\agrsmsvc.exe
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Common Files\LightScribe\LSSrvc.exe
      c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
      c:\windows\system32\igfxsrvc.exe
      c:\hw lmt\server\lmtserver\bin\lmt_server.exe
      c:\hw lmt\uninstall\jre\jre_win\bin\javaw.exe
      c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
      c:\progra~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
      .
      **************************************************************************
      .
      Heure de fin: 2009-01-16 15:10:26 - La machine a redémarré [f_devits]
      ComboFix-quarantined-files.txt 2009-01-16 14:10:23

      Avant-CF: 58,820,272,128 bytes free
      Après-CF: 58,576,277,504 bytes free

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

      220 --- E O F --- 2009-01-14 08:53:05
      j'ai encore eu a l'ouverture le programme "NTSB investigator flight" je ne sais pas d'ou ça vient

      bàt
      0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Pour Norton, fait-il office de parefeu ?

    Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Double-clique sur " RSIT.exe " pour le lancer .
    dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
    cliques ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse.
    deux rapports vont être generés.

    Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

    Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+

    A+

    0
    1. fabnok Messages postés 36 Statut Membre
       
      verni29 pour norton je n'en est aucune idee si fait ou pas office de partfeu

      rsit ça met longtemp ?? je le lance je choisi 2 month puis continue,il a l'air de ce lancer puis plus rien ,normal???

      bàt A+
      0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    3 à 4 mn maxi.
    Il doit être planté. Arrête le via le gestionnaire de taches.
    Supprime l'exécutable sur ton bureau et le dossier C:\RSIT.

    Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.

    * Désactive tout script bloquant, tel qu'un antivirus, un logiciel comme ad-block, noscript etc.
    * Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus.
    * Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
    * Clique Oui à la prochaine invite Optional Scan.
    * Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt, garde l'autre sous la main si jamais je te le demande.

    Copie/colle le rapport sur le forum.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      verni29

      je ne trouve pas DDS de sUBs peux tu m'aider svp

      merci
      0
    2. fabnok Messages postés 36 Statut Membre
       
      ok verni je l'ai trouver

      voici

      DDS (Ver_09-01-07.01) - NTFSx86
      Run by f_devits at 17:47:33.14 on 2009-01-16
      Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_11
      Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.486 [GMT 1:00]

      AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated)

      ============== Running Processes ===============

      C:\WINDOWS\system32\svchost -k DcomLaunch
      svchost.exe
      C:\WINDOWS\System32\svchost.exe -k netsvcs
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      svchost.exe
      svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\WINDOWS\System32\svchost.exe -k eapsvcs
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\WINDOWS\system32\AccelerometerSt.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\HW LMT\tray\bin\ilmt_tray.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
      C:\HW LMT\server\lmtserver\bin\lmt_server.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
      C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\System32\svchost.exe -k HTTPFilter
      C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\Documents and Settings\f_devits\Desktop\dds.scr

      ============== Pseudo HJT Report ===============

      BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
      BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
      BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar.dll
      BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
      BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      TB: &Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar.dll
      uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
      uRun: [PcSync] c:\program files\nokia\nokia pc suite 6\PcSync2.exe /NoDialog
      uRun: [drvsyskit] c:\documents and settings\f_devits\application data\drivers\winupgro.exe
      mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
      mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
      mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
      mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
      mRun: [Persistence] c:\windows\system32\igfxpers.exe
      mRun: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      mRun: [AccelerometerSysTrayApplet] c:\windows\system32\AccelerometerSt.exe
      mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"
      mRun: [vptray] c:\progra~1\symant~1\VPTray.exe
      mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe
      mRun: [LmtSysMonitor] "c:\hw lmt\tray\bin\ilmt_tray.exe"
      mRun: [PCSuiteTrayApplication] c:\program files\nokia\nokia pc suite 6\LaunchApplication.exe -onlytray
      mRun: [DataLayer] c:\program files\common files\pcsuite\datalayer\DataLayer.exe
      mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
      dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
      StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\blueto~1.lnk - c:\program files\widcomm\bluetooth software\BTTray.exe
      StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\winzip~1.lnk - c:\program files\winzip\WZQKPICK.EXE
      mPolicies-system: EnableLUA = 0 (0x0)
      IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
      IE: Send to &Bluetooth Device... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm
      IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
      IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
      IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
      IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
      Notify: igfxcui - igfxdev.dll
      Notify: NavLogon - c:\windows\system32\NavLogon.dll
      SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

      ============= SERVICES / DRIVERS ===============

      R1 SAVRT;SAVRT;c:\program files\symantec antivirus\savrt.sys [2006-9-6 337592]
      R1 SAVRTPEL;SAVRTPEL;c:\program files\symantec antivirus\Savrtpel.sys [2006-9-6 54968]
      R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2008-12-10 99376]
      R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-1-23 36608]
      R3 NAVENG;NAVENG;c:\progra~1\common~1\symant~1\virusd~1\20090113.024\naveng.sys [2009-1-14 89104]
      R3 NAVEX15;NAVEX15;c:\progra~1\common~1\symant~1\virusd~1\20090113.024\navex15.sys [2009-1-14 876112]
      S1 srosa;srosa;\??\c:\documents and settings\f_devits\application data\drivers\srosa.sys --> c:\documents and settings\f_devits\application data\drivers\srosa.sys [?]
      S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-7-17 35072]
      S3 SavRoam;SAVRoam;c:\program files\symantec antivirus\SavRoam.exe [2006-9-27 116464]
      S4 ccEvtMgr;Symantec Event Manager;c:\program files\common files\symantec shared\ccEvtMgr.exe [2006-7-19 192160]
      S4 ccSetMgr;Symantec Settings Manager;c:\program files\common files\symantec shared\ccSetMgr.exe [2006-7-19 169632]
      S4 Symantec AntiVirus;Symantec AntiVirus;c:\program files\symantec antivirus\Rtvscan.exe [2006-9-27 1813232]

      =============== Created Last 30 ================

      2009-01-16 14:53 <DIR> a-dshr-- C:\cmdcons
      2009-01-16 14:52 161,792 a------- c:\windows\SWREG.exe
      2009-01-16 14:52 98,816 a------- c:\windows\sed.exe
      2009-01-16 12:33 <DIR> --d----- c:\docume~1\f_devits\applic~1\Malwarebytes
      2009-01-16 12:33 15,504 a------- c:\windows\system32\drivers\mbam.sys
      2009-01-16 12:33 38,496 a------- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-01-16 12:33 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Malwarebytes
      2009-01-16 12:33 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware
      2009-01-16 11:52 <DIR> --d----- c:\program files\Trend Micro
      2009-01-16 11:50 <DIR> --d-h--- c:\docume~1\f_devits\applic~1\drivers
      2009-01-16 11:05 <DIR> --d----- c:\program files\FindyKill
      2009-01-16 08:30 <DIR> --d----- C:\autorun.inf
      2009-01-16 08:24 <DIR> --d----- c:\program files\UsbFix
      2009-01-07 15:35 <DIR> a-d----- C:\Devis
      2008-12-23 15:21 410,984 a------- c:\windows\system32\deploytk.dll
      2008-12-23 15:21 73,728 a------- c:\windows\system32\javacpl.cpl
      2008-12-22 18:43 <DIR> --d----- c:\docume~1\f_devits\applic~1\AVS4YOU
      2008-12-22 18:43 <DIR> --d----- c:\docume~1\alluse~1\applic~1\AVS4YOU
      2008-12-22 18:42 <DIR> --d----- c:\program files\common files\AVSMedia
      2008-12-22 18:41 1,700,352 a------- c:\windows\system32\GdiPlus.dll
      2008-12-22 18:41 974,848 a------- c:\windows\system32\mfc70.dll
      2008-12-22 18:41 487,424 a------- c:\windows\system32\msvcp70.dll
      2008-12-22 18:41 <DIR> --d----- c:\program files\AVS4YOU
      2008-12-22 11:05 9 a------- C:\lmtiviewalarmportnumber.ini
      2008-12-22 11:05 9 a------- C:\lmtiviewbinportnumber.ini
      2008-12-19 20:33 <DIR> --d----- C:\music
      2008-12-19 18:18 <DIR> --d----- c:\windows\system32\scripting
      2008-12-19 18:18 <DIR> --d----- c:\windows\system32\en
      2008-12-19 18:18 <DIR> --d----- c:\windows\l2schemas
      2008-12-19 18:18 <DIR> --d----- c:\windows\system32\bits
      2008-12-19 18:16 <DIR> --d----- c:\windows\ServicePackFiles
      2008-12-19 14:54 <DIR> --d----- c:\program files\MSXML 4.0
      2008-12-19 06:07 53,248 -------- c:\windows\system32\tsgqec.dll
      2008-12-19 06:06 37,376 -------- c:\windows\system32\l2gpstore.dll
      2008-12-18 18:47 <DIR> --d----- c:\documents and settings\f_devits\Phone Browser
      2008-12-18 18:46 <DIR> --d----- c:\program files\Nokia
      2008-12-18 18:46 <DIR> --d----- c:\program files\common files\PCSuite
      2008-12-18 18:46 <DIR> --d----- c:\program files\common files\Nokia

      ==================== Find3M ====================

      2008-12-19 18:21 86,327 a------- c:\windows\pchealth\helpctr\offlinecache\index.dat
      2008-12-11 11:57 333,952 a------- c:\windows\system32\drivers\srv.sys
      2008-10-23 13:36 286,720 a------- c:\windows\system32\gdi32.dll

      ============= FINISH: 17:47:50.98 ===============
      bàt
      0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    J'ai du m'absenter. :-)

    Le message que tu reçois est du à ton infection bagle.

    1) Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
    https://www.virustotal.com/gui/
    Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.

    c:\windows\system32\drivers\srv.sys

    Tu cliques ensuite sur envoyer le fichier.
    Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    2) Vérifie ceci :

    Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.


    begin copying:

    :files
    c:\documents and settings\f_devits\application data\drivers\winupgro.exe


    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.

    Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
    Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

    3) Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
    http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

    Lance l'installation avec les paramètres par défaut.

    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    * Double-clique sur le raccourci UsbFix sur ton Bureau.
    * Choisis l'option 1.

    Le PC va redémarrer.
    Après redémarrage, poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
    (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      Bonjour verni29
      voici le rapport de virustotal
      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.0.0.73 2009.01.17 -
      AhnLab-V3 2009.1.15.0 2009.01.16 -
      AntiVir 7.9.0.55 2009.01.16 -
      Authentium 5.1.0.4 2009.01.16 -
      Avast 4.8.1281.0 2009.01.16 -
      AVG 8.0.0.229 2009.01.16 -
      BitDefender 7.2 2009.01.17 -
      CAT-QuickHeal 10.00 2009.01.17 -
      ClamAV 0.94.1 2009.01.17 -
      Comodo 933 2009.01.16 -
      DrWeb 4.44.0.09170 2009.01.17 -
      eSafe 7.0.17.0 2009.01.15 -
      eTrust-Vet 31.6.6312 2009.01.17 -
      F-Prot 4.4.4.56 2009.01.16 -
      F-Secure 8.0.14470.0 2009.01.17 -
      Fortinet 3.117.0.0 2009.01.15 -
      GData 19 2009.01.17 -
      Ikarus T3.1.1.45.0 2009.01.17 -
      K7AntiVirus 7.10.593 2009.01.16 -
      Kaspersky 7.0.0.125 2009.01.17 -
      McAfee 5497 2009.01.16 -
      McAfee+Artemis 5497 2009.01.16 -
      Microsoft None 2009.01.17 -
      NOD32 3772 2009.01.16 -
      Norman 5.93.01 2009.01.16 -
      nProtect 2009.1.8.0 2009.01.16 -
      Panda 9.5.1.2 2009.01.16 -
      PCTools 4.4.2.0 2009.01.16 -
      Prevx1 V2 2009.01.17 -
      Rising 21.12.51.00 2009.01.17 -
      SecureWeb-Gateway 6.7.6 2009.01.16 -
      Sophos 4.37.0 2009.01.17 -
      Sunbelt 3.2.1835.2 2009.01.16 -
      Symantec 10 2009.01.17 -
      TheHacker 6.3.1.4.220 2009.01.14 -
      TrendMicro 8.700.0.1004 2009.01.16 -
      ViRobot 2009.1.16.1562 2009.01.16 -
      VirusBuster 4.5.11.0 2009.01.16 -
      Information additionnelle
      File size: 333952 bytes
      MD5...: 3bb03f2ba89d2be417206c373d2af17c
      SHA1..: dca2004e5a5c3a555c7c474e15319df95cad5a67
      SHA256: 2efd14332e133e71b09a0e00bf40cd9bc6850e976f05313b94b7e76780cddf3d
      SHA512: f7d8afd3c98c9746403f90624e5629e4010a1e5256f4ef9369d2fa6ceaff0be3
      cbd005447bec3570af53169e5dedc64c6a8c7c7977b8b675b8ddba66dc1d426d

      ssdeep: 6144:IXjqecQPWtHaos5hQCiCHtUtMNAb4bG8z5CuJRylzzfu42MQpGU:IXpI6d5
      5NUyAb42pFUpG

      PEiD..: -
      TrID..: File type identification
      Win64 Executable Generic (87.2%)
      Win32 Executable Generic (8.6%)
      Generic Win/DOS Executable (2.0%)
      DOS Executable Generic (2.0%)
      Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x5b105
      timedatestamp.....: 0x4940f203 (Thu Dec 11 10:57:07 2008)
      machinetype.......: 0x14c (I386)

      ( 10 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x380 0xd680 0xd680 6.63 407e26d68f44c71be08ffa000bb5292e
      .rdata 0xda00 0x157c 0x1580 5.12 b17e1f6db3f94a57f1f4e54f8030176a
      .data 0xef80 0x1fe8 0x2000 1.90 290252dc7b57e42144db3da8faa7d7d3
      PAGE 0x10f80 0x37ced 0x37d00 6.72 fb99e297f8666f6802c4c01c9cb2ca13
      PAGE8FIL 0x48c80 0x206e 0x2080 6.51 36e4ca7a7bc34a0ec77c50bc6beb60d1
      PAGESMBC 0x4ad00 0x183 0x200 4.92 41e57cfdc1fe0c23081efaebdae18c65
      PAGESMBD 0x4af00 0x1cc 0x200 0.42 0a782b525bc792f014a5add935d27659
      INIT 0x4b100 0x1f08 0x1f80 5.90 f72c020896c981a8fbbab70966b323f8
      .rsrc 0x4d080 0x5e8 0x600 4.93 dace1cea8631ff3c99229ab5e5806f1b
      .reloc 0x4d680 0x41ec 0x4200 6.82 a0eb4a0d670cb49b4dde8c9e4cfe2445

      ( 5 imports )
      > HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock, KfLowerIrql, KfRaiseIrql, KeGetCurrentIrql
      > ksecdd.sys: QueryContextAttributesW, FreeContextBuffer, MapSecurityError, ImpersonateSecurityContext, DeleteSecurityContext, AcquireCredentialsHandleW, AddCredentialsW, AcceptSecurityContext, InitSecurityInterfaceW, KSecValidateBuffer
      > ntoskrnl.exe: ExReleaseResourceLite, ExAcquireResourceExclusiveLite, ExfInterlockedRemoveHeadList, RtlCompareUnicodeString, RtlUpcaseUnicodeChar, KeTickCount, RtlEqualUnicodeString, ExAcquireResourceSharedLite, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, RtlUnicodeStringToOemString, RtlxUnicodeStringToOemSize, RtlOemStringToUnicodeString, RtlxOemStringToUnicodeSize, NlsMbOemCodePageTag, KeSetEvent, InterlockedPushEntrySList, IoFreeIrp, IoCheckDesiredAccess, RtlCopyUnicodeString, KeQuerySystemTime, KeUnstackDetachProcess, KeStackAttachProcess, IoGetCurrentProcess, ZwClose, ZwQueryValueKey, ZwOpenKey, _wcsnicmp, ZwOpenFile, NtQueryInformationFile, RtlLengthSecurityDescriptor, NtQueryVolumeInformationFile, KeInitializeTimer, KeInitializeEvent, KeWaitForSingleObject, KeReadStateEvent, KeCancelTimer, KeSetTimer, KeClearEvent, KeSetTargetProcessorDpc, KeInitializeDpc, wcslen, MmBuildMdlForNonPagedPool, IoInitializeIrp, KeInsertQueue, NtWriteFile, NtReadFile, NtSetInformationFile, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, IoCreateFile, memmove, RtlUpperChar, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoDeleteDevice, ExQueueWorkItem, ObfReferenceObject, KeLeaveCriticalRegion, KeEnterCriticalRegion, KeInsertHeadQueue, IofCallDriver, IoCreateDevice, WmiGetClock, IoWMIWriteEvent, IofCompleteRequest, IoQueueWorkItem, IoAllocateWorkItem, KeReadStateQueue, ExAllocatePoolWithTagPriority, ProbeForRead, IoWMIRegistrationControl, KeQueryTimeIncrement, _except_handler3, _allmul, SeSinglePrivilegeCheck, SeExports, IoFreeMdl, IoBuildPartialMdl, MmUnlockPages, MmUnmapLockedPages, RtlFreeOemString, NtClose, ZwSetValueKey, _wcsicmp, PoUnregisterSystemState, MmUnlockPagableImageSection, RtlGetOwnerSecurityDescriptor, RtlGetDaclSecurityDescriptor, KeRundownQueue, KeDelayExecutionThread, PoRegisterSystemState, RtlSetOwnerSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, RtlSubAuthoritySid, ObfDereferenceObject, RtlLengthRequiredSid, RtlCreateSecurityDescriptor, KeInitializeQueue, IoFreeWorkItem, DbgBreakPoint, RtlTimeToTimeFields, ExSystemTimeToLocalTime, RtlTimeFieldsToTime, _alldiv, KeBugCheckEx, RtlTimeToSecondsSince1970, FsRtlDoesNameContainWildCards, KeGetCurrentThread, IoAllocateIrp, IoQueueThreadIrp, MmProbeAndLockPages, IoAllocateMdl, MmLockPagableDataSection, RtlEqualString, NtCreateFile, NtDeviceIoControlFile, ZwDeviceIoControlFile, ZwCreateFile, IoCheckFunctionAccess, FsRtlMdlWriteCompleteDev, FsRtlPrepareMdlWriteDev, FsRtlMdlReadCompleteDev, FsRtlMdlReadDev, IoGetBaseFileSystemDeviceObject, IoCheckEaBufferValidity, RtlPrefixUnicodeString, NtRequestWaitReplyPort, RtlNtStatusToDosErrorNoTeb, IoCancelIrp, RtlInitString, IoWriteTransferCount, IoWriteOperationCount, IoReadTransferCount, IoReadOperationCount, IoStatisticsLock, wcscpy, RtlIntegerToUnicodeString, RtlInt64ToUnicodeString, NtOpenFile, IoSetThreadHardErrorMode, wcschr, _stricmp, RtlRandom, IoFastQueryNetworkAttributes, RtlSecondsSince1970ToTime, IoCheckQuerySetFileInformation, RtlUpcaseUnicodeStringToOemString, RtlFreeAnsiString, IoCheckQuerySetVolumeInformation, NtSetVolumeInformationFile, _allshr, NtSetSecurityObject, RtlValidRelativeSecurityDescriptor, NtQuerySecurityObject, NtQueryQuotaInformationFile, NtSetQuotaInformationFile, IoGetStackLimits, MmSizeOfMdl, wcscmp, RtlInitAnsiString, FsRtlIsFatDbcsLegal, RtlIsNameLegalDOS8Dot3, NlsOemLeadByteInfo, RtlUnicodeToOemN, RtlUpcaseUnicodeToOemN, KeDetachProcess, KeAttachProcess, PsAssignImpersonationToken, SeFreePrivileges, RtlMapGenericMask, IoSetFileOrigin, KeGetRecommendedSharedDataAlignment, KeNumberProcessors, _snwprintf, toupper, RtlTimeToSecondsSince1980, RtlValidSecurityDescriptor, RtlVerifyVersionInfo, VerSetConditionMask, MmIsThisAnNtAsSystem, PsCreateSystemThread, KeSetIdealProcessorThread, NtSetInformationThread, PsTerminateSystemThread, KeRemoveQueue, RtlDestroyHeap, RtlAllocateHeap, RtlFreeHeap, RtlCreateHeap, NtConnectPort, NtCreateSection, KeInitializeSpinLock, ExInitializeResourceLite, InterlockedPopEntrySList, ExDeleteResourceLite, ExAllocatePoolWithTag, DbgPrint, ExFreePoolWithTag, ExLocalTimeToSystemTime, RtlCompareMemory, MmMapLockedPages, MmMapLockedPagesSpecifyCache, RtlAnsiStringToUnicodeString, NtAllocateVirtualMemory, NtFreeVirtualMemory, ExfInterlockedAddUlong, RtlInitUnicodeString, RtlUpcaseUnicodeString, RtlFreeUnicodeString, SeLockSubjectContext, SeQueryAuthenticationIdToken, SeUnlockSubjectContext, SeCaptureSubjectContext, SeAccessCheck, SeReleaseSubjectContext, RtlInitializeSid, WmiTraceMessage, ZwSetEvent, ZwWaitForSingleObject, KeResetEvent, KeWaitForMultipleObjects, KeInitializeSemaphore, ZwCreateEvent, ZwMapViewOfSection, ZwCreateSection, KeReleaseSemaphore, ExfInterlockedInsertTailList
      > TDI.SYS: TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers, TdiOpenNetbiosAddress, TdiReturnChainedReceives, TdiCopyBufferToMdl
      > WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

      ( 0 exports )

      je fait la suite et te l'envoye

      christine29 dit que findykill à été mis a jour cette nuit ,ça va nous servir peux être

      A+
      0
      1. fabnok Messages postés 36 Statut Membre > fabnok Messages postés 36 Statut Membre
         
        voici les rapport verni29
        il y en a 4 pour 'OTMoveIT
        1
        Error: Unable to interpret <c:\documents and settings\f_devits\application data\drivers\winupgro.exe> in the current context!

        OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01172009_081145
        2
        Error: Unable to interpret <C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe> in the current context!

        OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01172009_081513
        ce sont tout les 4 des erreurs

        voici le rapport de usbfix


        -------------- UsbFix V2.414.3 ---------------

        * User : f_devits - FLCLXP27WW
        * Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8
        * Recherche effectuée à 8:30:38 le 2009-01-17
        * Windows Xp - Internet Explorer 7.0.5730.13


        --------------- [ Processus actifs ] ----------------


        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\System32\SCardSvr.exe
        C:\WINDOWS\system32\agrsmsvc.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Java\jre6\bin\jqs.exe
        C:\Program Files\Common Files\LightScribe\LSSrvc.exe
        C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
        C:\WINDOWS\system32\userinit.exe
        C:\WINDOWS\system32\userinit.exe
        C:\WINDOWS\system32\WgaTray.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\wbem\wmiprvse.exe

        --------------- [ Informations lecteurs ] ----------------

        C: - Fixed Drive


        +- Contenu de l'autorun : C:\autorun.inf



        --------------- [ Lecteur C ] ----------------

        C: - Fixed Drive


        +- Listing des fichiers présents :

        [2007-11-22 10:14][--a------] C:\AUTOEXEC.BAT
        [2004-08-04 13:00][-rahs----] C:\NTDETECT.COM
        [2009-01-16 14:53][-rahs----] C:\boot.ini
        [2009-01-16 14:53][-rahs----] C:\lmtiviewalarmportnumber.ini
        [2009-01-16 14:53][-rahs----] C:\lmtiviewbinportnumber.ini
        [2009-01-16 08:30][d--------] C:\autorun.inf
        [2009-01-16 15:10][--a------] C:\ComboFix.txt
        [2009-01-16 15:10][--a------] C:\FindyKill.txt
        [2009-01-16 15:10][--a------] C:\UsbFix.txt
        [2007-11-22 10:14][--a------] C:\CONFIG.SYS
        [2007-11-22 10:14][--a------] C:\hiberfil.sys
        [2007-11-22 10:14][--a------] C:\IO.SYS
        [2007-11-22 10:14][--a------] C:\MSDOS.SYS
        [2007-11-22 10:14][--a------] C:\pagefile.sys

        --------------- [ Registre / Startup ] ----------------

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
        "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

        [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
        "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
        "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
        CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
        PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
        drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
        IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
        PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
        PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
        IgfxTray=C:\WINDOWS\system32\igfxtray.exe
        HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
        Persistence=C:\WINDOWS\system32\igfxpers.exe
        QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
        AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
        ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
        SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
        LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
        PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
        DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
        SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
        HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
        <NO NAME>=
        HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
        Installed=1
        <NO NAME>=
        HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
        Installed=1
        NoChange=1
        <NO NAME>=
        HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
        Installed=1
        <NO NAME>=

        --------------- [ Registre / Mountpoint2 ] ----------------


        -> Recherche négative.

        --------------- [ Nettoyage des disques ] ----------------

        Echec de la supression !! - [2009-01-17 08:31] C:\autorun.inf
        Supprimé ! - [2009-01-17 08:31][d--------] C:\autorun.inf

        --------------- [ Resumé ] ----------------

        -> /!\ Le resultat doit etre interprété par un spécialiste /!\

        [2007-11-22 10:14][--a------] C:\AUTOEXEC.BAT
        [2004-08-04 13:00][-rahs----] C:\NTDETECT.COM
        [2009-01-16 14:53][-rahs----] C:\boot.ini
        [2009-01-16 14:53][-rahs----] C:\lmtiviewalarmportnumber.ini
        [2009-01-16 14:53][-rahs----] C:\lmtiviewbinportnumber.ini

        --------------- [ Vaccination ] ----------------

        C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

        --------------- ! Fin du rapport ! ----------------
        0
  11. Utilisateur anonyme
     
    Salut ,

    Findykill a été mis a jours cette nuit

    bonne suite et pour suivre
    0
    1. fabnok Messages postés 36 Statut Membre
       
      merci christine29

      en esperant que cela nous aide

      bàt
      A+
      fabnok
      0
  12. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Télécharge ToolsCleaner .sur le bureau
    http://pc-system.fr/
    Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
    Il est possible que ton bureau disparaisse.

    Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt

    Vérifie que FindyKill est bien supprimé.

    2) Tu vas télécharger la dernière version de findykill et recommence la manip du message 1 .

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      verni29 voici le rapport
      [ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

      -->- Recherche:

      C:\Combofix.txt: trouvé !
      C:\FindyKill.txt: trouvé !
      C:\UsbFix.txt: trouvé !
      C:\Qoobox: trouvé !
      C:\_OtMoveIt: trouvé !
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: trouvé !
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
      C:\Documents and Settings\f_devits\Desktop\HijackThis.lnk: trouvé !
      C:\Documents and Settings\f_devits\Desktop\ComboFix.exe: trouvé !
      C:\Documents and Settings\f_devits\Desktop\HJTInstall.exe: trouvé !
      C:\Documents and Settings\f_devits\Desktop\UsbFix.exe: trouvé !
      C:\Documents and Settings\f_devits\Desktop\UsbFix.txt: trouvé !
      C:\Documents and Settings\f_devits\Desktop\UsbFix.lnk: trouvé !
      C:\Documents and Settings\f_devits\Desktop\OTMoveIt3.exe: trouvé !
      C:\Documents and Settings\f_devits\Desktop\dds.scr: trouvé !
      C:\Documents and Settings\f_devits\Desktop\dds.txt: trouvé !
      C:\Documents and Settings\f_devits\Desktop\CCL\SdFix.exe: trouvé !
      C:\Documents and Settings\f_devits\Desktop\CCL\HijackThis.exe: trouvé !
      C:\Documents and Settings\f_devits\Desktop\CCL\UsbFix.exe: trouvé !
      C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix: trouvé !
      C:\Documents and Settings\f_devits\Start Menu\Programs\FindyKill: trouvé !
      C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
      C:\Program Files\UsbFix: trouvé !
      C:\Program Files\FindyKill: trouvé !
      C:\Program Files\Trend Micro\HijackThis: trouvé !
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
      C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

      ---------------------------------
      -->- Suppression:

      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
      C:\Documents and Settings\f_devits\Desktop\HijackThis.lnk: supprimé !
      C:\Documents and Settings\f_devits\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
      C:\Documents and Settings\f_devits\Desktop\HJTInstall.exe: supprimé !
      C:\Documents and Settings\f_devits\Desktop\CCL\SdFix.exe: supprimé !
      C:\Documents and Settings\f_devits\Desktop\CCL\HijackThis.exe: supprimé !
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
      C:\Combofix.txt: supprimé !
      C:\FindyKill.txt: supprimé !
      C:\UsbFix.txt: supprimé !
      C:\Documents and Settings\f_devits\Desktop\UsbFix.exe: supprimé !
      C:\Documents and Settings\f_devits\Desktop\UsbFix.txt: supprimé !
      C:\Documents and Settings\f_devits\Desktop\UsbFix.lnk: supprimé !
      C:\Documents and Settings\f_devits\Desktop\OTMoveIt3.exe: supprimé !
      C:\Documents and Settings\f_devits\Desktop\dds.scr: supprimé !
      C:\Documents and Settings\f_devits\Desktop\dds.txt: supprimé !
      C:\Documents and Settings\f_devits\Desktop\CCL\UsbFix.exe: supprimé !
      C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix\UsbFix.lnk: supprimé !
      C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
      C:\Qoobox: supprimé !
      C:\_OtMoveIt: supprimé !
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: supprimé !
      C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix: supprimé !
      C:\Documents and Settings\f_devits\Start Menu\Programs\FindyKill: supprimé !
      C:\Program Files\UsbFix: supprimé !
      C:\Program Files\FindyKill: supprimé !
      C:\Program Files\Trend Micro\HijackThis: supprimé !
      pour ce qui est de la derniere version de Findykill je ne trouve que celle du message 1 christine29 n'a pas laisser de lien pour cette dernière !
      A+
      0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    C'est le même qu'inidiqué dans le message 1 ( en lien dans mon message )
    0
    1. fabnok Messages postés 36 Statut Membre
       
      ok verni29 voici le rapport

      ----------------- FindyKill V4.713 ------------------

      * User : f_devits - FLCLXP27WW
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 17/01/09 par Chiquitine29
      * Recherche effectuée à 9:42:04 le 2009-01-17
      * Windows XP - Internet Explorer 7.0.5730.13

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\WINDOWS\system32\AccelerometerSt.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\HW LMT\tray\bin\ilmt_tray.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      C:\HW LMT\server\lmtserver\bin\lmt_server.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
      C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

      --------------- [ Processus infectieux stoppés ] ----------------


      "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (2596)
      "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (2804)


      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:


      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


      »»»» Presence des fichiers dans C:\Documents and Settings\f_devits\Application Data

      Found ! [2009-01-17 08:34] - "C:\Documents and Settings\f_devits\Application Data\drivers"
      Found ! [2009-01-17 08:34] - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
      Found ! [2006-09-15 05:07] - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
      Found ! [2009-01-17 08:38] - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"

      »»»» Presence des fichiers dans C:\DOCUME~1\f_devits\LOCALS~1\Temp


      --------------- [ Registre / Startup ] ----------------

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
      drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      IgfxTray=C:\WINDOWS\system32\igfxtray.exe
      HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
      Persistence=C:\WINDOWS\system32\igfxpers.exe
      QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
      ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
      SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
      LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
      PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      Installed=1
      NoChange=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1
      <NO NAME>=

      [HKEY_CURRENT_USER\software\local appwizard-generated applications\ccApp]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\SynTPEnh]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

      --------------- [ Registre / Clés infectieuses ] ----------------


      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\bisoft
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
      Found ! - HKEY_CURRENT_USER\Software\bisoft
      Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
      Found ! - [HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit

      /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

      --------------- [ Etat / Services ] ----------------

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

      /!\ Mode sans echec non fonctionnel !!



      +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      EapHost - Type de démarrage = 2

      /!\ Ip6Fw - Type de démarrage = 4

      /!\ SharedAccess - Type de démarrage = 4

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4


      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Fixed Drive


      +- Contenu de l'autorun : C:\autorun.inf



      +- presence des fichiers :

      Found ! [2009-01-17 08:31][d--h-----] - C:\autorun.inf


      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Not found !


      ------------------- ! Fin du rapport ! --------------------

      BàT
      0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu relances FindyKill et choisis l'option 2 cette fois-ci.

    A+
    0
  15. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Une remarque : Il faut que tu supprimes le crack vecteur d'infection.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      verni29
      le crack vecteru est déja supprimé dès le départ (quand j'ai remarqué qu'il était infecté)
      voici le rapport de findykill


      ----------------- FindyKill V4.713 ------------------

      * User : f_devits - FLCLXP27WW
      * Executed from : C:\Program Files\FindyKill
      * Update on 17/01/09 by Chiquitine29
      * Start at 10:25:23 the 2009-01-17
      * Windows XP - Internet Explorer 7.0.5730.13


      ((((((((((((((( *** deleting *** ))))))))))))))))))


      --------------- [ Active Processes ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      --------------- [ Infected files / folders ] ----------------


      »»»» Supression files in C:


      »»»» Supression files in C:\WINDOWS


      »»»» Supression files in C:\WINDOWS\Prefetch


      »»»» Supression files in C:\WINDOWS\system32


      »»»» Supression files in C:\WINDOWS\system32\drivers


      »»»» Supression files in C:\Documents and Settings\f_devits\Application Data

      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers"

      »»»» Supression files in C:\DOCUME~1\f_devits\LOCALS~1\Temp


      »»»» Supression files in C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5

      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[6].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[6].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[4].jpg

      --------------- [ Registry / Infected keys ] ----------------

      Deleted ! - HKEY_CURRENT_USER\Software\bisoft

      --------------- [ States / Restarting of services ] ----------------



      +- Services : [ Auto=2 / Request=3 / Disable=4 ]

      Ndisuio - Type of startup = 3

      EapHost - Type of startup = 2

      Ip6Fw - Type of startup = 2

      SharedAccess - Type of startup = 2

      wuauserv - Type of startup = 2

      wscsvc - Type of startup = 2


      --------------- [ Cleaning removable drives ] ----------------

      +- Informations :

      C: - Fixed Drive


      +- deleting files :

      Not deleted !! - C:\autorun.inf

      --------------- [ Registry / Mountpoint2 ] ----------------


      -> Not found !


      --------------- [ Searching Other Infections ] ----------------

      Suspect ! - 1b1a6af3581681d8b9cb689c532922ca C:\allu\Crack\AVSVideoConverter.exe
      Suspect ! - 5950bace7502e0cf14f8236fdbb039c7 C:\Program Files\AVS4YOU\AVSSoftwareNavigator\AVS4YOUSoftwareNavigator.exe
      Suspect ! - 4ce59db357385381c20ab44465e5a3ca C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
      Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\Program Files\AVS4YOU\Registration.exe
      Suspect ! - 96011d5a12161242d8c4eeba20e1fe0b C:\Program Files\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe
      Suspect ! - 5e533484167ecc8a976e7ca93ee57caf C:\Program Files\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe
      Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      --------------- [ Searching Cracks / Keygen ] ----------------



      ---------------- ! End of report ! ------------------
      Après le scan de findykill lors de la reconnection vers internet explorer je remarque toujours ce programme que je ne connais pas "NTSB investigator flight recorder (blak box) analyser"
      j'ai fait une saisie d'écran mais ne sais commen la poster
      J'ai aussi remarquer que "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" était toujour présent

      BàT
      A+
      0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    POur le fichier qui revient tout le temps, c'est lié à l'infection bagle.

    Tu vas utiliser Elibagla :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    Téléchargement en bas de page : descargar Elibagla
    Enregistre-le sur ton bureau.

    Tu vas essayer de lancer en mode sans échec. ( je dis bien essayer car ce virus peut empêcher l’accès à ce mode désinfection )
    Tu redémarres ton ordinateur et tapotes sur la touche F8 jusqu’à l’apparition d’une fenêtre où tu pourras accéder au mode sans échec.

    IMPORTANT : Si tu n’y arrives pas, n’insiste pas car sinon ton PC risque de faire des redémarrages en boucle. N’essaie pas non plus de modifier le fichier boot.ini

    Tu utiliseras alors le logiciel sous Windows.
    Tu lances Elibagla en double-cliquant dessus.

    Il te faudra plusieurs fois le passer ( 3 à 4 fois ).
    Tu postes le rapport. Il se trouve aussi en C:\Infosat.txt

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      verni29
      en mode sans echec je n'y arrive pas ,sous windoxs c'est ok je l'ai passer plusieur fois comme tu le verra dans le rapport,suite a ça j'ai reouvert internet explorer et le fameux programme "NTSB investigator flight...." est revenu
      voici le rapport

      Sat Jan 17 11:43:35 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Por favor, envienos una muestra del fichero
      C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
      a "virus@satinfo.es". Gracias.
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

      Sat Jan 17 11:46:50 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Por favor, envienos una muestra del fichero
      C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
      a "virus@satinfo.es". Gracias.
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Renombrado a .VIR
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\440546.EXE --> Eliminado Bagle

      Sat Jan 17 11:47:32 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\453828.EXE --> Eliminado Bagle
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\575750.EXE --> Eliminado Bagle
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\579390.EXE --> Eliminado Bagle
      C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\591656.EXE --> Eliminado Bagle

      Sat Jan 17 11:47:42 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:47:52 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:47:53 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:48:05 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:48:07 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:48:15 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:48:17 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:48:31 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:48:32 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:48:43 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:48:45 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:48:54 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:48:56 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:49:06 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:49:08 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:49:17 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:49:19 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:49:53 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:49:54 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Sat Jan 17 11:50:42 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      C:\Documents and Settings\f_devits\Application Data\Drivers\WINUPGRO.EXE.VIR --> Eliminado
      Eliminada Carpeta "%AppData%\Drivers"
      Restaurada Clave: "SafeBoot\Minimal y Network"

      Sat Jan 17 11:50:44 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Nº Total de Directorios: 12703
      Nº Total de Ficheros: 79067
      Nº de Ficheros Analizados: 14151
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0

      Sat Jan 17 12:04:11 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Nº Total de Directorios: 12703
      Nº Total de Ficheros: 79067
      Nº de Ficheros Analizados: 14151
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0

      Sat Jan 17 12:18:50 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):

      Sat Jan 17 12:18:52 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Nº Total de Directorios: 12702
      Nº Total de Ficheros: 79066
      Nº de Ficheros Analizados: 14151
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0

      Sat Jan 17 12:43:27 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Eliminada Carpeta "%AppData%\Drivers"

      Sat Jan 17 12:43:35 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Nº Total de Directorios: 12703
      Nº Total de Ficheros: 79068
      Nº de Ficheros Analizados: 14151
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0

      Sat Jan 17 13:01:05 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Eliminada Carpeta "%AppData%\Drivers"

      Sat Jan 17 13:01:06 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Nº Total de Directorios: 12703
      Nº Total de Ficheros: 79067
      Nº de Ficheros Analizados: 14151
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0

      Sat Jan 17 13:16:18 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Acción Directa):
      Eliminada Carpeta "%AppData%\Drivers"

      Sat Jan 17 13:16:19 2009
      EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
      -----------------------------------------------
      Lista de Acciones (por Exploración):
      Explorando "C:\"

      Nº Total de Directorios: 12703
      Nº Total de Ficheros: 79070
      Nº de Ficheros Analizados: 14151
      Nº de Ficheros Infectados: 0
      Nº de Ficheros Limpiados: 0
      Jespère que l'ont pourra dépatouiller ce truc :-)

      bàt

      A+
      fab
      0
  17. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Pas simple en effet.
    IL y a régulièrement de nouvelles variantes de cette infection.

    1) Pour la saisie d'écran, tu me l'envoies via https://www.cjoint.com/
    Tu m'indiqueras le lien crée pour que je puisse visualiser cette capture.

    2) Télécharge gmer
    http://www2.gmer.net/gmer.zip

    dézippe-le (clic droit et extraire sur le bureau )

    Ouvre le dossier crée et double-clique sur gmer.exe .
    Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
    Le scan va se lancer de lui-même.
    vérifie que l’outil est sur l’onglet RootKit/Malware.

    A la fin du scan, clique sur le bouton save pour enregsitrer le rapport.
    Enregistre-le sur le bureau ( fichier .log )
    Édite ce rapport dans ta prochaine réponse.

    A+
    0
  18. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu me posteras également un rapport Hijackthis après le rapport de Gmer.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      verni29

      voicidéja le rapport gmer
      GMER 1.0.14.14536 - http://www.gmer.net
      Rootkit scan 2009-01-17 14:54:21
      Windows 5.1.2600 Service Pack 3


      ---- System - GMER 1.0.14 ----

      SSDT 864AEAD0 ZwConnectPort
      SSDT \??\C:\Program Files\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA9827350]
      SSDT \??\C:\Program Files\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA9827580]

      ---- Devices - GMER 1.0.14 ----

      AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
      AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
      AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
      AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
      AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
      AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
      AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

      ---- EOF - GMER 1.0.14 ----
      la suite arrive
      bàt
      0
  19. fabnok Messages postés 36 Statut Membre
     
    et voici le rapport hijacktis
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:58, on 2009-01-17
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\agrsmsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\AccelerometerSt.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\HW LMT\tray\bin\ilmt_tray.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
    C:\HW LMT\server\lmtserver\bin\lmt_server.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [LmtSysMonitor] "C:\HW LMT\tray\bin\ilmt_tray.exe"
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
    O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Bluetooth.lnk = ?
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1230041888367&h=5b6d621b64ff3a886da30ffb77e666e3/&filename=jinstall-6u11-windows-i586-jc.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = flc2000.com
    O17 - HKLM\Software\..\Telephony: DomainName = flc2000.com
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = flc2000.com
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Lance Hijackthis et tu choisis " Do a system scan only ".
    Tu sélectionnes les lignes suivantes :

    O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

    Tu choisis l'option " Fixchecked" en bas de la page.

    2) Double clic sur le raccourci FindyKill sur ton bureau
    Au menu principal,choisis l'option 1 (Recherche)

    Poste le rapport FindyKill.txt.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      voici le rapport vern29



      ----------------- FindyKill V4.713 ------------------

      * User : f_devits - FLCLXP27WW
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 17/01/09 par Chiquitine29
      * Recherche effectuée à 15:10:26 le 2009-01-17
      * Windows XP - Internet Explorer 7.0.5730.13

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\WINDOWS\system32\AccelerometerSt.exe
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\HW LMT\tray\bin\ilmt_tray.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      C:\HW LMT\server\lmtserver\bin\lmt_server.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
      C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      --------------- [ Processus infectieux stoppés ] ----------------


      "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (876)


      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:

      Found ! [2009-01-17 11:43] - "C:\Muestras"
      Found ! [2009-01-17 13:21] - C:\InfoSat.txt

      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


      »»»» Presence des fichiers dans C:\Documents and Settings\f_devits\Application Data

      Found ! [2009-01-17 14:54] - "C:\Documents and Settings\f_devits\Application Data\drivers"
      Found ! [2009-01-17 14:54] - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
      Found ! [2006-09-15 05:07] - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
      Found ! [2009-01-17 14:57] - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"

      »»»» Presence des fichiers dans C:\DOCUME~1\f_devits\LOCALS~1\Temp


      --------------- [ Registre / Startup ] ----------------

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      IgfxTray=C:\WINDOWS\system32\igfxtray.exe
      HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
      Persistence=C:\WINDOWS\system32\igfxpers.exe
      QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
      ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
      SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
      LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
      PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
      SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      Installed=1
      NoChange=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1
      <NO NAME>=

      [HKEY_CURRENT_USER\software\local appwizard-generated applications\ccApp]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

      --------------- [ Registre / Clés infectieuses ] ----------------


      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\bisoft
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
      Found ! - HKEY_CURRENT_USER\Software\bisoft

      /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

      --------------- [ Etat / Services ] ----------------

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

      /!\ Mode sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

      /!\ Mode sans echec non fonctionnel !!



      +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      EapHost - Type de démarrage = 2

      /!\ Ip6Fw - Type de démarrage = 4

      /!\ SharedAccess - Type de démarrage = 4

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4


      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Fixed Drive


      +- Contenu de l'autorun : C:\autorun.inf



      +- presence des fichiers :

      Found ! [2009-01-17 08:31][d--------] - C:\autorun.inf


      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Not found !


      ------------------- ! Fin du rapport ! --------------------

      bàt
      0
  21. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Repasse FindyKill option 2 et poste le rapport.

    Je vais demander conseil.

    A+
    0
    1. fabnok Messages postés 36 Statut Membre
       
      voici le rapport verni29



      ----------------- FindyKill V4.713 ------------------

      * User : f_devits - FLCLXP27WW
      * Executed from : C:\Program Files\FindyKill
      * Update on 17/01/09 by Chiquitine29
      * Start at 15:26:59 the 2009-01-17
      * Windows XP - Internet Explorer 7.0.5730.13


      ((((((((((((((( *** deleting *** ))))))))))))))))))


      --------------- [ Active Processes ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\userinit.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      --------------- [ Infected files / folders ] ----------------


      »»»» Supression files in C:

      Deleted ! - "C:\Muestras"
      Deleted ! - C:\InfoSat.txt

      »»»» Supression files in C:\WINDOWS


      »»»» Supression files in C:\WINDOWS\Prefetch

      Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

      »»»» Supression files in C:\WINDOWS\system32


      »»»» Supression files in C:\WINDOWS\system32\drivers


      »»»» Supression files in C:\Documents and Settings\f_devits\Application Data

      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"
      Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers"

      »»»» Supression files in C:\DOCUME~1\f_devits\LOCALS~1\Temp


      »»»» Supression files in C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5

      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[6].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[5].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[6].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[4].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[2].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[3].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[1].jpg
      Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[2].jpg

      --------------- [ Registry / Infected keys ] ----------------

      Deleted ! - HKEY_CURRENT_USER\Software\bisoft
      Deleted ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro

      --------------- [ States / Restarting of services ] ----------------

      +- Safe boot mode restored !


      +- Services : [ Auto=2 / Request=3 / Disable=4 ]

      Ndisuio - Type of startup = 3

      EapHost - Type of startup = 2

      Ip6Fw - Type of startup = 2

      SharedAccess - Type of startup = 2

      wuauserv - Type of startup = 2

      wscsvc - Type of startup = 2


      --------------- [ Cleaning removable drives ] ----------------

      +- Informations :

      C: - Fixed Drive


      +- deleting files :

      Not deleted !! - C:\autorun.inf

      --------------- [ Registry / Mountpoint2 ] ----------------


      -> Not found !


      --------------- [ Searching Other Infections ] ----------------


      Références de comparaison Bagle MD5 :

      d8a9e541edae327d4fd34bcd80d34eac C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
      d8a9e541edae327d4fd34bcd80d34eac C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b

      Suspect ! - 1b1a6af3581681d8b9cb689c532922ca C:\allu\Crack\AVSVideoConverter.exe
      Suspect ! - 5950bace7502e0cf14f8236fdbb039c7 C:\Program Files\AVS4YOU\AVSSoftwareNavigator\AVS4YOUSoftwareNavigator.exe
      Suspect ! - 4ce59db357385381c20ab44465e5a3ca C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
      Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\Program Files\AVS4YOU\Registration.exe
      Suspect ! - 96011d5a12161242d8c4eeba20e1fe0b C:\Program Files\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe
      Suspect ! - 5e533484167ecc8a976e7ca93ee57caf C:\Program Files\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe
      Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      --------------- [ Searching Cracks / Keygen ] ----------------



      ---------------- ! End of report ! ------------------
      0
  • 1
  • 2